大厂面试题每日一题
极客时间返利平台,你可以在上边通过山月的链接购买课程,并添加我的微信 (shanyue94) 领取返现。
山月训练营之面试直通车 服务上线了,从准备简历、八股文准备、项目经历准备、面试、面经、面经解答、主观问题答复、谈薪再到入职的一条龙服务。

# SameSite Cookie 有哪些值,是如何预防 CSRF 攻击的

Issue

欢迎在 Gtihub Issue 中回答此问题: Issue 569 (opens new window)

Author

回答者: shfshanyue (opens new window)

见文档 SameSite Cookie - MDN (opens new window) 见文章 Cookie 的 SameSite 属性 (opens new window)

  • None: 任何情况下都会向第三方网站请求发送 Cookie
  • Lax: 只有导航到第三方网站的 Get 链接会发送 Cookie,跨域的图片、iframe、form 表单都不会发送 Cookie
  • Strict: 任何情况下都不会向第三方网站请求发送 Cookie

目前,主流浏览器 Same-Site 的默认值为 Lax,而在以前是 None,将会预防大部分 CSRF 攻击,如果需要手动指定 Same-SiteNone,需要指定 Cookie 属性 Secure,即在 https 下发送

Last Updated: 11/27/2021, 6:11:48 PM

32. sessionStorage与localStorage有何区别