Кука SameSite
Что такое Кука SameSite?
Кука SameSiteАтрибут куки, определяющий, отправляет ли браузер её при межсайтовых запросах; значения Strict, Lax, None; используется в основном для смягчения CSRF.
Атрибут 'SameSite' в заголовке 'Set-Cookie' указывает браузеру, когда куку можно отправлять на запросах, исходящих с другого сайта. 'Strict' не отправляет её при любых межсайтовых переходах и подзапросах, 'Lax' (сейчас значение по умолчанию в большинстве браузеров) — только при верхнеуровневых GET-навигациях, 'None' разрешает во всех контекстах, но требует 'Secure'. Установка 'Lax' или 'Strict' — одна из самых эффективных мер против CSRF и уменьшает площадь трекинга. Куки аутентификации и сессии обычно делают 'Lax' (для чувствительных потоков — 'Strict') и сочетают с флагами 'HttpOnly' и 'Secure', а также с явными CSRF-токенами для запросов, меняющих состояние.
● Примеры
- 01
'Set-Cookie: session=abc; Secure; HttpOnly; SameSite=Lax; Path=/'.
- 02
Встраиваемый платёжный iframe требует 'SameSite=None; Secure', чтобы кука уходила в кросс-сайт контексте.
● Частые вопросы
Что такое Кука SameSite?
Атрибут куки, определяющий, отправляет ли браузер её при межсайтовых запросах; значения Strict, Lax, None; используется в основном для смягчения CSRF. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Кука SameSite?
Атрибут куки, определяющий, отправляет ли браузер её при межсайтовых запросах; значения Strict, Lax, None; используется в основном для смягчения CSRF.
Как защититься от Кука SameSite?
Защита от Кука SameSite обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Кука SameSite?
Распространённые альтернативные названия: Атрибут SameSite.