Rob*_*bok 7 browser security cookies google-chrome http
因此,对于 Google Chrome 和 Opera,cookie 具有SameSite属性,它可以具有以下两个值之一:strict或lax。
它们之间的一些区别之一是,SameSite=strict当我们单击指向另一个域的链接时,将阻止发送 cookie。
我知道这SameSite还不是 W3C 的建议,但是这种行为的潜在好处是什么?我觉得这很烦人,因为当我们刷新或单击当前域上的另一个链接时,无论如何都会发送 cookie。这会导致相当奇怪的用户体验 - 例如:我们已注销,然后我们单击某个国内链接或刷新,我们突然通过了身份验证。
我知道它不是为了最好的用户体验而设计的,而是为了安全。但我们在安全方面实际上赢得了什么?
这里应该有一个答案,所以我只是重复一下评论中已经说过的内容。
您应该始终使用samesite=lax,除非您愿意为用户提供糟糕的用户体验。lax足够安全,因为只有当从不同域引用时, cookie 才会被发送用于安全方法(即 GET)。如果你对GET请求做了危险的事情,那么你就会遇到更大的问题。