揭开SameSite与Cookie恩怨史，掌握Chrome 80的Cookie陷阱

SameSite：Chrome 80的Cookie谜团

揭开SameSite与Cookie的恩怨纠葛

Cookie，作为网站的记忆工具，一直是网站开发和安全领域的焦点。然而，随着Chrome 80的推出，Cookie的使用掀起了一场轩然大波。为了加强用户隐私保护，Chrome 80引入了全新的安全机制——SameSite属性，旨在防止跨域Cookie攻击。但这一改变却给许多网站带来了意想不到的麻烦。

SameSite属性：网络安全的新篇章

SameSite属性旨在限制Cookie在跨域请求中的发送，防止第三方网站跟踪用户行为并发起CSRF攻击。该属性共有三种值：

• Strict： 严格模式，仅允许在第一方网站中发送Cookie，禁止跨域请求发送Cookie。
• Lax： 宽松模式，允许在第一方网站和同源网站中发送Cookie，但禁止跨域请求发送Cookie。
• None： 无限制模式，允许在任何请求中发送Cookie，但需要显式设置Secure属性，以确保Cookie仅通过HTTPS协议发送。

Chrome 80的震撼：Cookie风波

在Chrome 80中，SameSite属性的默认值从Lax改为Strict。这意味着所有未显式设置SameSite属性的Cookie都将被视为Strict模式。这一改动虽然增强了安全性，但却给许多网站造成了严重影响。

由于许多网站在开发时并未考虑SameSite属性，导致Chrome 80发布后，这些网站无法正常工作。用户在登录时可能遇到无法登录、无法鉴权等问题；在访问某些页面时可能出现白屏、循环跳转等问题。

化解Cookie陷阱：网站开发人员的应对指南

为了应对Chrome 80的Cookie陷阱，网站开发人员需要对网站的Cookie进行全面检查和调整。

1. 检查SameSite属性设置

首先，检查网站的所有Cookie，确保它们都已显式设置了SameSite属性。对于需要跨域发送的Cookie，应将其SameSite属性设置为Lax或None。

2. 修复未显式设置SameSite属性的Cookie

对于那些尚未显式设置SameSite属性的Cookie，应将其SameSite属性显式设置为Lax或None。如果需要严格保护隐私，则可以将其设置为Strict。

3. 使用Secure属性

对于需要跨域发送且包含敏感信息的Cookie，应将其Secure属性显式设置为True，以确保Cookie仅通过HTTPS协议发送。

4. 使用HTTP头控制Cookie发送

在某些情况下，可以使用HTTP头来控制Cookie的发送。例如，可以在请求头中添加“SameSite=Lax”或“SameSite=None”来显式指定Cookie的SameSite属性。

5. 升级浏览器版本

如果使用的是Chrome 80或更低版本，建议升级到最新版本，以获得最新的安全补丁和修复。

结语：共创网络安全新天地

SameSite属性的引入是一项重大的变革，旨在增强网络安全并保护用户隐私。但Chrome 80对SameSite属性默认值的更改却给许多网站带来了不小的麻烦。

通过对网站的Cookie进行全面检查和调整，我们可以化解SameSite与Cookie之间的恩怨，共同创造一个更加安全、更加可靠的网络环境。

常见问题解答

1. SameSite属性有什么作用？

SameSite属性旨在防止跨域Cookie攻击，例如CSRF攻击和用户行为跟踪。

2. Chrome 80中SameSite属性的默认值是什么？

Strict。

3. 如何修复Chrome 80中的Cookie问题？

检查网站的所有Cookie，确保它们都已显式设置了SameSite属性。

4. 什么是Lax和Strict模式之间的区别？

Lax模式允许在第一方网站和同源网站中发送Cookie，而Strict模式仅允许在第一方网站中发送Cookie。

5. 如何显式设置Cookie的SameSite属性？

使用“SameSite”属性，例如：Set-Cookie: SameSite=Lax。