Chrome和Firefox下SameSite的整理
Cookie最初被设计成了允许在第三方网站发起的请求中携带,CSRF 攻击就是利用了Cookie的这一“弱点”,防止 CSRF 攻击的办法已经有 CSRF token 校验和Referer请求头校验。为了从源头上解决这个问题,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增SameSite属性,它用来标明这个Cookie是个“同站Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方 cookie。
Chrome ...
最新评论