SameSite限制被绕过，SameSite:Strict Cookie被发送

报告摘要

报告ID: #3253725
提交者: mingijung
报告对象: Brave Software
提交时间: 2025年7月15日 下午1:33 UTC
状态: 已解决
严重程度: 高 (8.3)
赏金: $500

问题描述

在某些情况下，SameSite策略被绕过。当用户在跨域环境中左键点击链接并选择"在分屏视图中打开链接"时，所有cookie（包括SameSite=Strict cookie）都会被发送，尽管这是跨站导航。

对于SameSite cookie，在跨站导航期间只应发送SameSite=Lax cookie。

相关CVE和问题链接

报告提供了多个相关的CVE和问题链接，包括：

• Chromium问题跟踪器中的多个问题编号
• Mozilla Bugzilla中的多个bug报告
• NVD漏洞数据库中的CVE-2018-12402、CVE-2022-29912、CVE-2022-45410、CVE-2022-45413、CVE-2023-30674

技术分析

SameSite=Strict cookie在此情况下被发送的原因是缺少本应存在的Sec-Fetch-Site: cross-site头部。为了防止SameSite绕过和防御CSRF攻击，此头部应正确包含在请求中。

受影响产品

• Brave浏览器 1.80.120（窗口操作）

复现步骤

1. 创建包含以下代码的HTML：

1

<a href='https://SameSite.check.com' target='_blank'>1234</a>

2. 使用"在分屏视图中打开链接"选项打开上述超链接 - 即使是SameSite=Strict cookie也会被发送

3. 尝试使用其他选项（如"在新标签页中打开"或"在隐身窗口中打开"）打开链接，并比较每种情况下发送的cookie

支持材料

• 包含概念验证(POC)演示视频
• 多个相关技术问题链接

处理时间线

• 2025年7月15日: 问题提交
• 2025年7月15日: Brave团队确认为已分类
• 2025年7月28日: Brave员工确认此问题也存在于Chromium的分屏视图实现中
• 2025年8月4日: 问题修复并合并，奖励$500赏金
• 2025年8月9日: 报告者向Google提交了相同问题
• 2025年8月20日: 确认为在Chrome M141版本中修复
• 2025年8月26日: CVE请求提交
• 2025年10月15日: 报告公开披露

修复状态

该问题已在Chrome M141版本中修复，修复提交链接： https://chromium-review.googlesource.com/c/chromium/src/+/6838198

关联弱点

• 不当证书验证

CVE标识符

CVE-2018-12402, CVE-2022-29912, CVE-2022-45410, CVE-2022-45413, CVE-2023-30674