for*_*stj 7 cookies firefox google-chrome http go
我正在用 Golang/HTML 创建一个 Web 应用程序。我正在实现注册、会话、电子邮件验证和登录。
我的代码有效,但是我注意到一些奇怪的浏览器行为。当用户第一次注册时,我的应用程序将向他们发送一封电子邮件,其中包含一个链接,网址中带有唯一的随机数(使用过一次的数字)。这是为了确保用户能够通过该地址接收我们发送的电子邮件并“验证他们的电子邮件”,这是许多网络应用程序的标准做法。
Please click the following link to verify your account: http://localhost:8080/verify-email/55c17d2c
我注意到,当我收到这封电子邮件时,如果我单击电子邮件中的链接,浏览器将按预期在新选项卡中打开该链接,但是,它不会针对与该选项卡关联的请求发送任何 cookie。
但是,当我手动将链接复制并粘贴到新选项卡中并按 Enter 键时,它会很好地发送 cookie。是什么赋予了?这是某种未记录的安全功能吗?我该怎么办?
我使用https://github.com/six-ddc/httpflow 捕获 Web 浏览器和服务器应用程序之间的 HTTP 请求和响应日志。我有两个单独的日志,其中一个捕获了我单击链接的注册流程,另一个捕获了我将链接复制并粘贴到新选项卡中的注册流程。
记录电子邮件中链接的点击位置:https://paste.cyberia.club/~forest/2f3fce7dcc71fc095341eeaefb33f20883c79886
记录链接从电子邮件复制并粘贴到网址栏中的位置:https://paste.cyberia.club/~forest/0623f76cfee339e91d2213dd8f4c7710c6fa2797
请注意,我在 Firefox 和 google chrome 上尝试过此操作,我还使用真实域和 https 证书进行了尝试,在所有浏览器和设置中都获得了相同的行为。
这是我的限制:
我希望应用程序在禁用 javascript 的情况下也能正常工作,但是,如果基于 javascript 的解决方案简单、安全并且使网站使用起来更愉快,我愿意接受它们。例如,我使用 JavaScript 在发送到服务器进行登录之前对客户端的密码进行哈希处理。但如果禁用 javascript,则会发送原始密码。
我不希望用户在单击链接验证其电子邮件地址后必须再次登录。
我不希望电子邮件地址中的链接代表进入用户帐户的“免费通行证”。我想要求用户先登录(或以其他方式进行身份验证),然后才能验证其电子邮件地址。例如,如果有人窃取该电子邮件并在目标用户之前点击该链接,我不希望电子邮件窃贼能够接管该帐户。
for*_*stj 11
哎呀,我刚刚发现了这一点,我想要Lax在我的 cookie 上使用 SameSite 策略:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#SameSite_attribute
它采用三个可能的值:Strict、Lax 和 None。使用 Strict 时,cookie 仅发送到与发起 cookie 的站点相同的站点;Lax 类似,只是当用户导航到 cookie 的原始站点(例如,通过来自外部站点的链接)时发送 cookie;
| 归档时间: |
|
| 查看次数: |
1692 次 |
| 最近记录: |