- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
因此对于 Google Chrome 和 Opera,cookie 具有 SameSite
属性,该属性可以具有以下两个值之一:strict
或 lax
。
它们之间的一些区别之一是 SameSite=strict
将在我们单击指向另一个域的链接时阻止发送 cookie。
我知道 SameSite
还不是 W3C 推荐的,但这种行为的潜在好处是什么?我觉得这很烦人,因为当我们刷新或单击当前域上的另一个链接时,无论如何都会发送 cookie。这会导致相当奇怪的用户体验 - 例如:我们已注销,然后我们单击某个国内链接或刷新,然后我们突然通过了身份验证。
我知道它不是为最好的用户体验而设计的,而是为了安全。但我们在安全方面实际上赢得了什么?
最佳答案
使用 strict
而不是 lax
的好处是有限的。我可以看到两个:
通过 GET
请求防止 CSRF 攻击。这种攻击通常是不可能的,因为它们依赖于服务器实现具有副作用的 GET
端点(不正确并且违反了 RFC 7231 指定的语义)。你在评论中给出了一个例子:
Imagine we have a very bad design and all our actions are performed on GET method. The attacker placed link saying "Save puppies" which links to
http://oursite.com/users/2981/delete
. That's the only use-case I can think of - when we have some action done via GET method, while it shouldn't.
防止定时攻击。有一类攻击 - 已经被发现 back in 2000 , 但是 Mathias Bynens最近探索和推广 - 涉及恶意网页使用 JavaScript 向另一个域上的页面发起请求,然后测量需要多长时间,并从所花费的时间推断有关用户的事情。 Mathias 发明的一个示例是向带有 restricted audience 的 Facebook 页面发起请求。 ,这样它只能由 Examplestan 中的人访问。然后邪恶的网页会计算响应返回所需的时间。当您尝试访问无法访问的帖子时,Facebook 会提供错误页面,而不是它提供实际帖子的速度,因此如果恶意网页得到快速响应,它可以推断用户不在 Examplestan 中;如果它得到一个慢响应,那么用户可能是一个 Exampstani。
由于浏览器在您进行顶级导航时不会停止在页面上执行 JavaScript,直到它们收到来自被导航至的 URL 的响应,因此不幸的是,这些定时攻击完全有可能通过顶级导航实现;你的恶意页面可以通过 location=whatever
将用户导航离开,然后通过将当前时间戳重复记录到 localStorage
来计算另一个页面加载所需的时间环形。然后在随后的访问中,恶意页面可以检查页面开始卸载需要多长时间,并推断被计时页面的响应时间。
托管目标页面的域(例如 facebook.com,在 Mathias 的示例中)可以通过使用 samesite=strict
cookie 来保护其用户免受此类攻击。
显然,这些有限的好处是以严重的用户体验权衡换来的,因此与 samesite=lax
提供的已经相当不错的保护相比,通常不值得!
关于google-chrome - 为点击的链接阻止 cookie 有什么好处? (同一站点=严格),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41841880/
我刚开始学习JSP技术,遇到了瓶颈。 如何从 JSP 声明 block ? 这不起作用: ... 服务器说没有“out”。 U: 我确实知道如何使用返回字符串的方法重写代码,但是有没有办法在 ?
在一个字段中,我想设置一个具有自定义过滤器的自定义分析器-着眼于词干-因此,“闪存卡”和“闪存卡”的词根相同,因此返回的结果相同 当我运行以下查询时,我的命中率很高,但是“闪存卡”和“闪存卡”各自返回
快速提问。 我有一个通过 PInvoke 使用 native DLL 的应用程序,这个 DLL 可能会调用 PostQuitMessage()。 如何避免? (因为我的应用程序不应该关闭) 我试过 A
一些给定的 HTML 文章,例如: Content 与一些基本的 Jquery 结合使用,例如: $(".some_
我正在构建一个灯箱相册。当第一个图像加载时,CSS 转换起作用。当加载后的每个图像都没有。任何想法为什么?加载第一张之后的照片,但没有过渡。 Image.prototype.load = functi
这个问题在这里已经有了答案: Disable recent tasks button on Android 5.0 (2 个答案) 关闭 2 年前。 我知道这个问题之前在这里被问过 Android
我是 Objective-C 的新手,我只是想弄清楚我是否可以使用 block 或选择器作为 UIAlertView 的 UIAlertViewDelegate 参数 - 哪个更合适? 我已经尝试了以
我是 Linux (UNIX) 套接字下套接字编程的新手。我在 Internet 上找到了以下代码,用于为每个连接生成一个线程的 tcp 服务器。但是它不起作用。accept() 函数立即返回,不等待
recv()库函数手册页提到: It returns the number of bytes received. It normally returns any data available, up
我有一个用于其他项目的共享 ts 库。在这个库中有被同一个库的其他资源使用的资源。该库的结构分为 components/*、interfaces/*、services/* 等目录。在每个目录的根目录中
我想在同一行中一个接一个地显示我的 ListView ,但 ListView 显示每个新行中的每个项目。我怎样才能防止换行显示。以便它显示为段落 ListView.builder( shr
我有一个包含数千行的表格。 import React from "react" import { useSelector } from "react-redux"; import { useEffec
假设我通常希望收到关于代码中不完整模式的警告,但有时我知道某个函数的模式不完整,我知道这很好。 是still true GHC 的警告粒度是每个模块的,并且没有办法更改有关特定功能或定义的警告? 最佳
我的网络应用程序发送浏览器通知,我知道如何检查通知的浏览器权限,以及如果未授予权限,如何请求权限。 但是,即使用户授予我的站点发送通知的权限,她可能仍然无法收到通知,因为它们 might be dis
我有 Xcode 3.2.1,并且喜欢使用它,但是当我编辑文本中带有超链接的文件时(例如,带有引用的注释:# see http://example.com)Xcode 将文本变成可点击的超链接。尝试编
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许在 Stack Overflow 上提出有关通用计算硬件和软件的问题。您可以编辑问题,使其成为
我有一个在 MY_Controller 中运行的 acl。如果权限被拒绝,那么此刻,我只是执行 redirect('denied') - 这是一个非常基本的 Controller ,它加载一个非常基本
我一直很好奇尝试从 Chrome 切换到 Firefox Quantum,但是对于 Web 开发遇到了一个我无法轻松解决的主要障碍——它正在缓存我的本地主机文件,因此当我尝试在本地主机加载各种 emb
这真的让我很兴奋!在任何时候,我都会参与多个项目。当我退出Xcode时,下次打开Xcode时,我前一天的所有项目都会自动一一打开。 经常我最终编辑错误的文件,AHHHHHHHHHHH!我可以阻止这种行
我的Wiki上有500个左右的Spambot和大约5个实际注册用户。我已经使用nuke删除了他们的页面,但是他们一直在重新发布。我已经使用reCaptcha控制了spambot的注册。现在,我只需要一
我是一名优秀的程序员,十分优秀!