严防cookie跨站攻击，SameSite成为谷歌最强防护

SameSite属性的诞生

cookie跨站攻击，由来已久，层出不穷。早些年，由于浏览器对于Cookie的安全机制不完善，导致攻击者可以利用各种手段伪造Cookie，进而发起跨站攻击。即使是后来浏览器引入了HttpOnly属性，也无法完全解决这个问题。

直到2016年，谷歌提出了SameSite属性，它允许网站指定cookie只能在某些特定情况下被发送，从而可以防止跨站请求伪造（CSRF）攻击和跨站脚本（XSS）攻击。

SameSite属性的三个值

SameSite属性可以具有三个值：

• Strict：只有当请求是同源请求并且是GET请求时，才会发送cookie。
• Lax：只有当请求是同源请求时，才会发送cookie。
• None：浏览器会忽略SameSite属性，并总是发送cookie。

Chrome升级SameSite默认策略

由于SameSite属性在防止跨站攻击方面非常有效，因此谷歌决定在Chrome浏览器中升级SameSite默认策略。从Chrome 80版本开始，所有cookie默认都会被设置为SameSite=Lax。这意味着，只有当请求是同源请求时，才会发送cookie。

这一改变引起了广泛的关注，因为这意味着许多网站需要调整其cookie设置。如果不调整，这些网站可能会遇到跨站攻击的问题。

SameSite属性的具体作用

SameSite属性可以用来防止以下两种跨站攻击：

• 跨站请求伪造（CSRF）：CSRF攻击是一种攻击者利用受害者的身份向服务器发送恶意请求的攻击。攻击者可以通过各种手段伪造受害者的Cookie，然后利用这些Cookie向服务器发送恶意请求。SameSite属性可以防止CSRF攻击，因为它只会在同源请求时发送cookie。
• 跨站脚本（XSS）：XSS攻击是一种攻击者在受害者的浏览器中执行恶意脚本的攻击。攻击者可以通过各种手段将恶意脚本注入到受害者的浏览器中，然后利用这些恶意脚本窃取受害者的信息或控制受害者的浏览器。SameSite属性可以防止XSS攻击，因为它只会在同源请求时发送cookie。

调整SameSite属性的注意事项

如果您的网站使用cookie进行身份验证或跟踪用户行为，那么您需要调整SameSite属性设置。否则，您的网站可能会遇到跨站攻击的问题。

在调整SameSite属性设置时，您需要注意以下几点：

• 如果您的网站需要支持跨域请求，那么您需要将SameSite属性设置为SameSite=None。
• 如果您的网站只需要支持同源请求，那么您可以将SameSite属性设置为SameSite=Lax。
• 如果您的网站需要支持GET请求和POST请求，那么您需要将SameSite属性设置为SameSite=Strict。

结语

SameSite属性是一个非常重要的安全机制，它可以帮助您防止跨站攻击。在调整SameSite属性设置时，您需要注意以上几点，以确保您的网站不会受到攻击。