关于cookie:cookie的sameSite

32次阅读

共计 564 个字符,预计需要花费 2 分钟才能阅读完成。

概念

SameSite 阻止浏览器将 cookie 与 跨站点 申请一起发送。次要指标是升高跨起源信息泄露的危险。它还提供了一些针对跨站点申请伪造攻打的爱护。该标记的可能值为 Lax 或 Strict。

SameSite 能够有上面三种值:

Strict 仅容许一方申请携带 Cookie,即浏览器将只发送雷同站点申请的 Cookie,即以后网页 URL 与申请指标 URL 完全一致。
Lax 容许局部第三方申请携带 Cookie
None 无论是否跨站都会发送 Cookie

以前浏览器默认值为 None 当初为 Lax,所以当初的跨站 ajax 申请默认不会再携带 cookie。

对于 ajax(XMLHttpRequest)跨域申请携带 cookie 的一些了解

1、ajax跨域申请默认不携带 cookie, 必须设置 XMLHttpRequest 的 withCredentials 为 ture
2、如果这个 ajax 申请是跨站申请,即便设置了 withCredentials 也不会携带 cookie, 必须强行把 SameSite 设置成 None 才会携带 cookie。不过须要留神:SameSite 设置成 None 后,Cookie 就必须同时加上 Secure 属性(Secure 属性是说如果一个 cookie 被设置了 Secure=true,那么这个 cookie 只能用 https 协定发送给服务器,用 http 协定是不发送的)

正文完
 0