西安的网站制作公司,如何创建私人网站,公司部门解散赔偿标准,深圳电商网站Chrome Cookie SameSite 设置
Chrome 51 开始#xff0c;浏览器的 Cookie 新增加了一个SameSite属性#xff0c;用来防止 CSRF 攻击和用户追踪。
Cookie 的SameSite属性用来限制第三方 Cookie#xff0c;从而减少安全风险。
它可以设置三个值。 StrictLaxNone Chrome 默认…Chrome Cookie SameSite 设置
Chrome 51 开始浏览器的 Cookie 新增加了一个SameSite属性用来防止 CSRF 攻击和用户追踪。
Cookie 的SameSite属性用来限制第三方 Cookie从而减少安全风险。
它可以设置三个值。 StrictLaxNone Chrome 默认将没有设置SameSite设置为SameSiteLax
1. Strict
Strict最为严格完全禁止第三方 Cookie跨站点时任何情况下都不会发送 Cookie。换言之只有当前网页的 URL 与请求目标一致才会带上 Cookie。
这个规则过于严格可能造成非常不好的用户体验。比如当前网页有一个 GitHub 链接用户点击跳转就不会带有 GitHub 的 Cookie跳转过去总是未登陆状态。
2. Lax
Lax规则稍稍放宽大多数情况也是不发送第三方 Cookie但是导航到目标网址的 Get 请求除外。
导航到目标网址的 GET 请求只包括三种情况链接预加载请求GET 表单。详见下表。
请求类型正常情况Lax链接发送 Cookie发送 Cookie预加载发送 Cookie发送 CookieGET 表单发送 Cookie发送 CookiePOST 表单发送 Cookie不发送iframe发送 Cookie不发送AJAX发送 Cookie不发送Image发送 Cookie不发送
设置了Strict或Lax以后基本就杜绝了 CSRF 攻击。当然前提是用户浏览器支持 SameSite 属性。
3. None
Chrome 计划将Lax变为默认设置。这时网站可以选择显式关闭SameSite属性将其设为None。不过前提是必须同时设置Secure属性Cookie 只能通过 HTTPS 协议发送否则无效。
4. 设置
谷歌浏览器地址栏输入chrome://flags/
搜索SameSite
将下面这三项的 default 修改为 disable
修改前 修改后
