Tuax技术周刊：2021年09月03日

Tuax 技术周刊

2021年09月03日

Cookie 新增的 SameParty 属性

Cookie 是一种存储在用户浏览器中的小块数据，用于在用户和服务器之间传递信息。它可以存储用户信息、用户偏好和购物车内容等信息。随着 Web 技术的不断发展，Cookie 也在不断演进，以满足新的安全性和隐私性需求。

在 2021 年 9 月，Cookie 新增了一个名为 SameParty 的属性。该属性用于指定 Cookie 是否可以跨域共享。在以往，Cookie 默认情况下是可以跨域共享的，这可能会带来安全性和隐私性问题。例如，如果用户在一个网站上登录了账号，那么该网站的 Cookie 就会存储在用户的浏览器中。当用户访问另一个网站时，该网站也可以访问该 Cookie，从而获取到用户的登录信息。

为了解决这个问题，SameParty 属性应运而生。该属性可以设置为 "Strict" 或 "Lax"，分别表示 Cookie 只能在同一域下共享或可以在同一域及其子域下共享。通过设置 SameParty 属性，可以有效地防止跨域 Cookie 共享，从而提高安全性。

SameParty 属性的必要性

SameParty 属性的引入是十分必要的，因为它可以有效地防止跨域 Cookie 共享，从而提高安全性。跨域 Cookie 共享可能会带来以下安全问题：

• 跨域跟踪：攻击者可以通过跨域 Cookie 共享来跟踪用户的浏览行为，从而收集用户的个人信息。
• 跨域攻击：攻击者可以通过跨域 Cookie 共享来发起跨域攻击，从而窃取用户的敏感信息或控制用户的设备。

SameParty 属性的实现方式

SameParty 属性可以通过在 Cookie 中设置 "SameParty" 属性值来实现。该属性值可以设置为 "Strict" 或 "Lax"，分别表示 Cookie 只能在同一域下共享或可以在同一域及其子域下共享。

例如，以下代码将创建一个名为 "user" 的 Cookie，并将其 SameParty 属性设置为 "Strict"：

Set-Cookie: user=username; SameParty=Strict

这样，该 Cookie 就只能在同一域下共享，无法被其他域访问。

SameParty 属性的注意事项

在使用 SameParty 属性时，需要注意以下几点：

• 对于已经存在的 Cookie，需要手动添加 SameParty 属性。
• 在设置 SameParty 属性时，需要考虑浏览器的兼容性。目前，主流浏览器都支持 SameParty 属性，但旧版本的浏览器可能不支持。
• 在使用 SameParty 属性时，需要考虑应用程序的兼容性。如果应用程序依赖于跨域 Cookie 共享，那么在设置 SameParty 属性后，应用程序可能无法正常工作。

结语

SameParty 属性是 Cookie 新增的一个重要属性，它可以有效地防止跨域 Cookie 共享，从而提高安全性。在使用 SameParty 属性时，需要注意浏览器的兼容性和应用程序的兼容性。