关于javascript:关于cookie的SameSite属性

71次阅读

共计 827 个字符,预计需要花费 3 分钟才能阅读完成。

   对于 cookie 的 SameSite 属性,咱们其实能够看阮一峰老师的这篇:Cookie 的 SameSite 属性

大抵在这里就详情下

1,SameSite 是谷歌浏览器针对 cookie 新增的一个属性,次要作用就是为了避免 CSRF 攻打和用户追踪

那么对于 CSRF 攻打是什么,不懂得同学能够看下面那篇阮一峰老师的教程,外面有具体的阐明,咱们也一句话概括吧,上面:

Cookie 往往用来存储用户的身份信息,歹意网站能够设法伪造带有正确 Cookie 的 HTTP 申请,这就是 CSRF 攻打。

2,那么 SameSite 属性到底是怎么实现了避免 CSRF 攻打和用户追踪呢?

cookie 的 sameSite 属性就是用来限度第三方网站拿到你的 cookie,从而达到缩小危险的成果。

比方咱们罕用的 swagger,本地测试时,调用 login 接口,而后查问其余接口会带上 cookie,

然而如果咱们谷歌浏览器关上了 SameSite 开关,而后咱们在本地调用测试环境的接口时,会发现其余接口拿不到 login 的 setCookie,从而导致登录有效

只有咱们敞开浏览器的 sameSite 开关,咱们才能够取得不同域名的 setCookie

对于 SameSite 的具体属性以及阐明,请参考阮一峰老师的教程

Cookie 的 SameSite 属性

那么咱们怎么敞开谷歌的 SameSite 设置呢?

1,首先,咱们在谷歌输出 chrome://flags/

.jpg”)

2,而后咱们输入框输出:SameSite by default cookies、Cookies without SameSite must be secure

.jpg”)

3, 设置下面这两项设置成 Disable

而后重启谷歌就能够敞开这个设置了

当然,如果你不想设置谷歌你也能够通过设置 cookie 实现拜访

对于 cookie 的设置

报文外面 set-cookie,增加 SameSite=None; Secure=true

from: https://www.cnblogs.com/webHa…

正文完
 0