Chrome Cookie SameSite 属性设置
Chrome Cookie SameSite 設置
Chrome 51 開始,瀏覽器的 Cookie 新增加了一個SameSite屬性,用來防止 CSRF 攻擊和用戶追蹤。
Cookie 的SameSite屬性用來限制第三方 Cookie,從而減少安全風險。
它可以設置三個值。
- Strict
- Lax
- None
Chrome 默認將沒有設置SameSite設置為SameSite=Lax
1. Strict
Strict最為嚴格,完全禁止第三方 Cookie,跨站點時,任何情況下都不會發送 Cookie。換言之,只有當前網頁的 URL 與請求目標一致,才會帶上 Cookie。
這個規則過于嚴格,可能造成非常不好的用戶體驗。比如,當前網頁有一個 GitHub 鏈接,用戶點擊跳轉就不會帶有 GitHub 的 Cookie,跳轉過去總是未登陸狀態。
2. Lax
Lax規則稍稍放寬,大多數情況也是不發送第三方 Cookie,但是導航到目標網址的 Get 請求除外。
導航到目標網址的 GET 請求,只包括三種情況:鏈接,預加載請求,GET 表單。詳見下表。
| 鏈接 | 發送 Cookie | 發送 Cookie |
| 預加載 | 發送 Cookie | 發送 Cookie |
| GET 表單 | 發送 Cookie | 發送 Cookie |
| POST 表單 | 發送 Cookie | 不發送 |
| iframe | 發送 Cookie | 不發送 |
| AJAX | 發送 Cookie | 不發送 |
| Image | 發送 Cookie | 不發送 |
設置了Strict或Lax以后,基本就杜絕了 CSRF 攻擊。當然,前提是用戶瀏覽器支持 SameSite 屬性。
3. None
Chrome 計劃將Lax變為默認設置。這時,網站可以選擇顯式關閉SameSite屬性,將其設為None。不過,前提是必須同時設置Secure屬性(Cookie 只能通過 HTTPS 協議發送),否則無效。
4. 設置
谷歌瀏覽器地址欄輸入:chrome://flags/
搜索:SameSite
將下面這三項的 default 修改為 disable
修改前:
修改后:
總結
以上是生活随笔為你收集整理的Chrome Cookie SameSite 属性设置的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Qt连接MySQL数据库
- 下一篇: CornerNet: Detecting