日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程语言 > asp.net >内容正文

asp.net

ASP.NET Core Cookie SameSite

發布時間:2023/12/4 asp.net 49 豆豆
生活随笔 收集整理的這篇文章主要介紹了 ASP.NET Core Cookie SameSite 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

在較多的項目中,Cookie 是比較常用的一種狀態保持的選擇。比如常見的例子:用戶登錄成功后,服務器通過 set-cookie 將會話Id設置到當前域下,前端在調用后端接口時,會自動將同域下的 Cookie 攜帶上,然后后端接口再獲取到會話Id進行用戶登錄狀態的合法性驗證。

了解過 Cookie 相關知識的同學都比較清楚,Cookie 的使用上一不小心就會出現安全性問題,如:CSRF(Cross-site request forgery 跨站請求偽造)、XSSI(Cross Site Script Inclusion 跨站腳本包含)攻擊,網上也有很多這一類的介紹文章。為了降低這類風險,谷歌開發了一種稱為 Cookie ?SameSite 安全機制,并已經在主流的瀏覽器中被應用較長時間。

什么是 Cookie ?SameSite

SameSite 是 Cookie 中的一個屬性,它是用來約束第三方(跨域) Cookie 傳遞的,SameSite 有 Strict、Lax、None 三個值可設置。

Strict

Strict 是最嚴格的策略,在 Strict 下,瀏覽器不允許將 Cookie 從 A 域發送到B域。假設用戶之前在 B 域下已經是登錄狀態,A 域某頁面上有一個 B 域的跳轉鏈接,當通過點擊 A 域下這個跳轉鏈接進入 B 域時,B 域下會出現未登錄的情況。這種策略的安全性很高,但其實在用戶體驗上并不好,所以使用上并不常見。

set-cookie: sid=0920770230c103809305605a;samesite=strict

Lax

Lax 策略相比 Strict 會寬一些,大多數情況也是不發送第三方 Cookie,但 鏈接(<a href="..."></a>)、預加載請求 <link rel="prerender" href="..."/>、GET 表單 <form method="GET" action="..."> 除外。假設用戶之前在 B 域下已經是登錄狀態,A 域某頁面上有一個 B 域的鏈接,當通過點擊 A 域下這個跳轉鏈接進入 B 域時,B 域下將依然顯示登錄狀態。但如果在 A 域下發起了一個 Ajax POST 請求到 B 域的接口,這時接口是獲取不到相關 Cookie 的。雖然 ?Lax 策略依然會存在一定的風險,但通常來說是相對合適的選擇,所以 Lax 在一些開發語言中被設置為 Cookie SameSite 的默認值。

set-cookie: sid=0920770230c103809305605a;samesite=lax

None

在實際使用中,也會存在有一些場景確實是需要支持跨域 Cookie 傳遞(如比較常見的 A 域中 IFrame 嵌入 B 域鏈接進行使用),這時候可以選擇將 SameSite 設置為 None,但是使用 None 卻是有前提條件的,它要求必須同時設置 Secure 屬性為 true,而 Secure 設置 true 又要求 B 域是基于 HTTPS 協議來訪問的,否則依然無效。

set-cookie: sid=0920770230c103809305605a; secure; samesite=none

在 .NET Core 中的使用

下面將以 ASP.NET Core Web 應用程序為例

var options = new CookieOptions {Expires = DateTime.Now.AddHours(1), }; _httpContextAccessor.HttpContext.Response.Cookies.Append("sid", "0920770230c103809305605a", options);

常規情況下,以上代碼即可完成 Cookie 的寫入,CookieOptions 還支持一些其他的配置,可根據實際情況設定。不過需要注意的是在 .NET Core 2.2 和 .NET Core 3.1 中,Cookie 的 SameSite 屬性默認值是不也一樣的,升級需要注意。

2.2 中的默認值是 SameSiteMode.Lax

3.1 中的默認值變成了 SameSiteMode.Unspecified(表示不寫入 SameSite 屬性值,繼承瀏覽器默認的 Cookie 策略)

IFrame 中如何解決 SameSite 問題

在基于 ASP.NET Core set-cookie 的情況下,如果需要當前域被其他域的 IFrame 引入使用,最基本的要求是站點必須基于 HTTPS 協議,然后修改代碼將 SameSite 屬性值設置為 None,Secure 設置為 true。

var options = new CookieOptions {SameSite = SameSiteMode.None,Secure = true };

總結

以上是生活随笔為你收集整理的ASP.NET Core Cookie SameSite的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。