SameSite =“ Lax”和SameSite =“ Strict”有什么区别?
有人可以告诉我 SameSite =“ Lax” 和 SameSite =“ Strict” 有什么区别,因为我对这两者有些困惑?
3 个答案:
答案 0 :(得分:35)
Lax允许在某些跨站点请求中发送cookie,而Strict从不允许在跨站点请求中发送cookie。
可以跨站点发送Lax cookie的情况必须满足以下两个条件:
- 该请求必须是顶级导航。您可以认为这等同于网址栏中显示的网址发生更改,例如用户单击链接以转到另一个站点。
- 请求方法必须是安全的(例如GET或HEAD,但不能是POST)。
例如:
- 假设用户在site-a.com上,然后单击链接以访问site-b.com。这是一个跨站点的请求。这是顶级导航,是GET请求,因此Lax cookie被发送到site-b.com。但是,严格的cookie不会发送,因为它毕竟是跨站点请求。
- 用户位于site-a.com上,并且存在一个内嵌了site-b.com的iframe。这是跨网站的请求,但这不是顶级导航(用户仍在site-a.com上,即,在加载iframe时,网址栏不会更改)。因此,松懈或严格的cookie都不会发送到site-b.com。
- 用户位于site-a.com上,该站点将表单过帐到site-b.com。这是一个跨站点请求,但是方法(POST)不安全。它不符合Lax Cookie跨站点访问的条件,因此Lax和Strict Cookie均不会发送到site-b.com
答案 1 :(得分:3)
严格不允许在跨站点请求或iframe中发送Cookie。 LAX 仅允许GET 无不允许所有请求。但是安全是必需的;
答案 2 :(得分:2)
一张图片值一千字。这是我的清晰图,总结了您需要了解的有关SameSite属性的所有信息:
来源:来自上述@chlily的答案和blog from Google about SameSite cookies
奖金:difference between same-site and same-origin from Google's blog
相关问题
- xhtml 1.0 strict和xhtml 1.1有什么区别?
- 严格和懒惰评估之间有什么区别
- 在javavscript中,(function(){“ use strict”})();之间有什么区别?和“严格使用”?
- 在SameSite = Lax
- SameSite =“ Lax”和SameSite =“ Strict”有什么区别?
- 用我的cookie设置“ SameSite = Lax”值
- Spring Security SAML与samesite = Lax的兼容性
- 当samesite = strict或Lax
- SameSite = Lax和SameSite = Strict在接收Cookie之间有什么区别?
- 为什么ASP.NET_SessionId cookie:具有两次相同的属性SameSite = Lax; SameSite = None?
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?