SameSite Cookie
SameSite Cookie とは何ですか?
SameSite Cookieクロスサイトリクエストで Cookie を送信するかをブラウザに指示する属性で、値は Strict・Lax・None。主に CSRF 対策に用いる。
Set-Cookie ヘッダの「SameSite」属性は、他サイト発のリクエストで Cookie を送信するかをブラウザに伝えます。Strict はあらゆるクロスサイトのナビゲーションとサブリクエストで送信しない、Lax(多くのブラウザの既定)はトップレベル GET ナビゲーション時のみ送信、None はすべての状況で送信を許可するが Secure 属性が必須です。Cookie を Lax か Strict に設定することは CSRF 緩和策として最も効果的な手段の一つで、トラッキングの面でも有利です。認証・セッション Cookie は基本的に Lax(機微なフローでは Strict)とし、HttpOnly・Secure 属性および状態変更要求向けの明示的な CSRF トークンと組み合わせるべきです。
● 例
- 01
「Set-Cookie: session=abc; Secure; HttpOnly; SameSite=Lax; Path=/」。
- 02
埋め込み決済 iframe ではクロスサイトで Cookie を送るために「SameSite=None; Secure」が必要となる。
● よくある質問
SameSite Cookie とは何ですか?
クロスサイトリクエストで Cookie を送信するかをブラウザに指示する属性で、値は Strict・Lax・None。主に CSRF 対策に用いる。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
SameSite Cookie とはどういう意味ですか?
クロスサイトリクエストで Cookie を送信するかをブラウザに指示する属性で、値は Strict・Lax・None。主に CSRF 対策に用いる。
SameSite Cookie からどのように防御しますか?
SameSite Cookie に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
SameSite Cookie の別名は何ですか?
一般的な別名: SameSite 属性。