samesite cookie機制本意是為了減少網路請求包,設想下,b.com**展示a.com下的,b站每向a請求一張,都會攜帶上a域下的cookie,而這些cookie對於請求來說毫無意義,無意中增加請求包大小
samesite有三個屬性lax, strict, none
lax:b站上通過超連結訪問a站,會攜帶a站cookie。b站通過img標籤等跨越請求a站時,不會攜帶cookie,設定的cookie也不會起作用
strict:b站上通過超連結訪問a站,不會攜帶a站cookie。b站通過img標籤等跨域請求a站時,不會攜帶cookie,設定的cookie也不會起作用
none:b站上通過超連結訪問a站,會攜帶a站cookie。b站通過img標籤等跨域請求a站時,會攜帶cookie,設定的cookie起作用
firefox v83預設samesite=none,samesite=none時,還必須加上secure屬性cookie才會被瀏覽器接受
chrome v87預設samesite=lax,該配置對csrf有相當大的防禦力
1、get型別的csrf漏洞,原本可以通過img/script等標籤完成攻擊,但由於samesite=lax屬性,攻擊無法生效,只能通過訪問超連結方式攻擊
1、瀏覽器samesite預設屬性並不能完全防止csrf攻擊,超連結訪問、form表單提交到新頁面等攻擊方式依然有效
2、敏感業務可以設定cookie屬性samesite=strict,防止來自站外攻擊
*****====更新**********====
除了csrf攻擊,cors漏洞也變得很雞肋(本來access-control-allow-origin=any和access-control-allow-credentials=true可以輕鬆劫持使用者會話)參考另一篇文章
單例模式(防繼承,防轉殖)
單列模式 1.普通類 class singleton s1 new singleton s2 new singleton 注意,2個變數是同1個物件的時候才全等 if s1 s2 else 2.封鎖new操作 class singleton s1 new singleton php fatal er...
函式防抖(防表單重複提交)
在前端開發中,常常需要對某些函式進行節流和防抖。目前針對不同場景防抖方案也較多,其中lodash和rxjs中提供的方案,是一種被廣泛使用的方案,其通用性也較強,使用簡單,可以覆蓋我們大部分的業務場景。即 當呼叫函式n毫秒後,才會執行該動作,若在這n毫秒內又呼叫該函式則將取消前一次計時並重新計算執行時...
流水線條碼防重防錯防呆防混料得利捷掃瞄系統
流水線條碼防重防錯防呆防混料得利捷掃瞄系統是瑞科自動識別技術公司為企業生產線 包裝線 倉庫分揀貨物時,防止產品混料 防止產品條碼重複 防止產品沒貼條碼 或印刷條碼 防止產品漏掃而開發的一款條碼檢測系統。在綜合工廠應用場景,客戶痛點精心設計的一套包含軟硬體結合的條碼應用解決方案系統。並對以上錯誤情況進...