https://blog.qife122.com/tags/%E8%B7%A8%E7%AB%99%E6%94%BB%E5%87%BB/ Recent content in 跨站攻击 on 办公AI智能小助手 Hugo zh-cn qife Sun, 07 Sep 2025 20:38:46 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90samesite-cookie%E8%B7%A8%E7%AB%99%E4%B8%8E%E8%B7%A8%E6%BA%90%E7%9A%84%E5%AE%89%E5%85%A8%E8%BF%B7%E6%80%9D/ Sun, 07 Sep 2025 20:38:46 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90samesite-cookie%E8%B7%A8%E7%AB%99%E4%B8%8E%E8%B7%A8%E6%BA%90%E7%9A%84%E5%AE%89%E5%85%A8%E8%BF%B7%E6%80%9D/ <h1 id="深入解析samesite-cookie跨站与跨源的安全迷思">深入解析SameSite Cookie：跨站与跨源的安全迷思</h1> <h2 id="tldr">TL;DR</h2> <ul> <li>SameSite Cookie属性未被充分理解。</li> <li>混淆站点（site）和源（origin）是常见但有害的错误。</li> <li>站点的概念比表面看起来更复杂。</li> <li>某些请求是跨源但同站的。</li> <li>SameSite仅对跨站请求生效。</li> <li>SameSite使你的子域名成为攻击目标。</li> <li>误解可能导致开发者不适当地避免使用SameSite=Strict。</li> </ul> <h2 id="samesite的出现">SameSite的出现</h2> <p>你一定听说过SameSite Cookie属性。2020年2月，Chrome开始改变SameSite的默认行为，使其成为头条新闻。作为防御跨站攻击（如CSRF和XSSI）的深度防御机制，SameSite自2016年诞生以来一直潜伏在浏览器实现中。2020年初SameSite的激活需要一些网站进行艰苦的调整以维持第三方访问，但被广泛誉为浏览器防御的受欢迎补充。</p>