Entry № 1077
SameSite Cookie
SameSite Cookie 是什么?
SameSite Cookie控制浏览器在跨站请求中是否携带 Cookie 的属性,取值为 Strict、Lax、None,主要用于缓解 CSRF。
Set-Cookie 中的「SameSite」属性指示浏览器在何种跨站请求中可以发送该 Cookie。Strict 在所有跨站导航与子请求中都不发送,Lax(目前大多数浏览器的默认)只在顶层 GET 导航时发送,None 在所有上下文均允许但必须配合 Secure。将 Cookie 设为 Lax 或 Strict 是缓解 CSRF 最有效的措施之一,同时降低跨站跟踪面。认证和会话 Cookie 通常应使用 Lax(敏感流程可用 Strict),并与 HttpOnly 和 Secure 标志配合,以及对状态更改请求显式使用 CSRF Token。
● 示例
- 01
「Set-Cookie: session=abc; Secure; HttpOnly; SameSite=Lax; Path=/」。
- 02
嵌入的支付 iframe 需要「SameSite=None; Secure」,以便在跨站上下文中发送该 Cookie。
● 常见问题
SameSite Cookie 是什么?
控制浏览器在跨站请求中是否携带 Cookie 的属性,取值为 Strict、Lax、None,主要用于缓解 CSRF。 它属于网络安全的 应用安全 分类。
SameSite Cookie 是什么意思?
控制浏览器在跨站请求中是否携带 Cookie 的属性,取值为 Strict、Lax、None,主要用于缓解 CSRF。
如何防御 SameSite Cookie?
针对 SameSite Cookie 的防御通常结合技术控制与运营实践,详见上方完整定义。
SameSite Cookie 还有哪些其他名称?
常见的别称包括: SameSite 属性。