10

我们在用户会话开始时为 XSRF/CSRF 设置了 cookie。在某些时候,用户导航到不同的域(例如支付),执行一些操作,并导航到我们的域。返回我们的域后,Firefox 和 Safari 无法读取设置为相同站点的 cookie:严格,Chrome 可以。在 Chrome 和 Firefox(但不是 Safari)的情况下,它确实显示在 cookie 的开发人员工具部分下。

MDN 上的相同站点解释解释说,在未来的请求中,cookie 将在请求标头中一起发送。对于所有三种浏览器,情况都是如此。解释没有定论的是是否应该可以通过document.cookie读取这个cookie。对于 Firefox、Safari 和 Chrome,我们可以读取“Lax”cookie,但对于 Chrome,我们可以读取“Strict”cookie。在页面刷新时也是如此,但在打开新选项卡时(即仅通过导航)则不然。

这是 Safari 和 Firefox 或 Chrome 中的错误 - 还是规范不确定?规格(w3?)是什么?

可以使用带有两个虚拟主机的网络服务器轻松地在本地重新创建它,test.internalsite.com并且test.externalsite.com这些页面带有一些 PHP:

<?php
  setcookie("CSRFLax", "hiLax", array("path"=>"/", "samesite"=>"Lax", "domain"=>"test.internalsite.com"));
  setcookie("CSRFStrict", "hiStrict", array("path"=>"/", "samesite"=>"Strict", "domain"=>"test.internalsite.com"));
?>
<html>
  <body>External site
      <p><a href="http://test.externalsite.com">Go to External site</a></p>
      <p>Document cookie: <script>document.write(document.cookie);</script></p>
  </body>
</html>


<html>
  <body>External site
    <a href="http://test.internalsite.com">Go to internal Site</a>
  </body>
</html>
4

1 回答 1

1

正如我们的安全官员所建议的那样,他不倾向于讨论使用“宽松”cookie 而不是“安全”cookie 的可能性(我认为除了语义之外没有其他原因),我们通过刷新页。这可以在 Chrome 和 Safari 中检索 Strict cookie。

var canReadStrictCookie = function(cookies) {
  return cookies.toLowerCase().indexOf('mySameSiteSecureCookieName') !== -1;
};

if(document.location.href.indexOf('jmkCheck') === -1 && !canReadStrictCookie(document.cookie)){
  document.location.href='?jmkCheck';
}

如果您自己控制 cookie,我强烈建议您使用“宽松”设置。这个名字令人困惑,它不是松懈的安全性(实际上它比引入同一站点之前更安全)。

于 2019-08-06T11:42:00.233 回答