+关注继续查看

1. 跨站(cross-site)、跨域(cross-origin)

以下两个域名就属于 跨站 ,他们具有不同的二级域名 pro.com dev.com

ocs.pro.com

ocs.dev.com

以下两个域名就属于 同站 ,具有相同的域名 test.com

ocs.test.com

sts.test.com

2. Cookie 的 SameSite 属性

Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。

Cookie 的 SameSite属性是用于设置Cookie的访问范围的

它可以设置三个值。

  • Strict

    Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

    Set-Cookie: CookieName=CookieValue; SameSite=Lax;

    这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

  • Lax Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

    Set-Cookie: CookieName=CookieValue; SameSite=Lax;

    设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

  • None

    Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性 (Cookie 只能通过 HTTPS 协议发送) ,否则无效。 下面的设置无效。

    Set-Cookie: widget_session=abc123; SameSite=None

    下面的设置有效

    Set-Cookie: widget_session=abc123; SameSite=None; Secure

3. XMLHttpRequest.withCredentials

XMLHttpRequest.withCredentials属性是一个布尔值,表示跨域请求时,用户信息(比如 Cookie 和认证的 HTTP 头信息)是否会包含在请求之中,默认为false,即向 example.com 发出跨域请求时,不会发送 example.com 设置在本机上的 Cookie(如果有的话)。

如果需要跨域 AJAX 请求发送 Cookie,需要withCredentials属性设为true。注意,同源的请求不需要设置这个属性。

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://ocs.test.com/', true);
xhr.withCredentials = true;
xhr.send(null);

为了让这个属性生效,服务器必须显式返回Access-Control-Allow-Credentials这个头信息。

Access-Control-Allow-Credentials: true withCredentials属性打开的话,跨域请求不仅会发送 Cookie,还会设置远程主机指定的 Cookie。反之也成立,如果withCredentials属性没有打开,那么跨域的 AJAX 请求即使明确要求浏览器设置 Cookie,浏览器也会忽略。

注意,脚本总是遵守同源政策,无法从document.cookie或者 HTTP 回应的头信息之中,读取跨域的 Cookie,withCredentials属性不影响这一点。

4. Cookie的访问

同源(same-origin)

无限制,无论 XMLHttpRequest.withCredentials true 还是 false ,浏览器均可存储cookie,XHR请求中均会带上cookie。

顶级导航(top-level navigation),即浏览器地址栏中直接输入地址,浏览器会存储cookie,不论cookie的 samesite 的值是多少。

XMLHttpRequest.withCredentials=false,cross-origin,同站(same-site)

这种场景下,cookie不会被浏览器存储。

XMLHttpRequest.withCredentials=false,cross-origin,跨站(cross-site)

这种场景下,cookie不会被浏览器存储。

XMLHttpRequest.withCredentials=true,cross-origin,跨站(cross-site)

对于使用 HTTP 协议的API返回的cookie,浏览器不会存储,在浏览器开发者工具,网络面板中可以看到set-cookie后有告警图标,鼠标放上后可以看到相关说明。

对于 HTTPS 协议的API返回的cookie,如果设置了属性: secure; samesite=none ,则浏览器会存储cookie。XHR请求也会带上目标域的cookie。

XMLHttpRequest.withCredentials=true,cross-origin,同站(same-site)

对于使用HTTPS协议的API,浏览器会存储cookie,不论 samesite 的值;

对于使用HTTP协议的API,浏览器会存储 samesite 的值为 Lax Strict 的cookie;

XHR请求会带上目标域的cookie;

// Java 设置secure; samesite=none 方法
@RestController
@RequestMapping
public class TestController {
    @GetMapping("/test")
    public Object test (HttpServletRequest request,
                    HttpServletResponse response) throws Exception {
        ResponseCookie cookie = ResponseCookie.from("myCookie", "myCookieValue") // key & value
                .httpOnly(true)     // 禁止js读取
                .secure(true)       // 在http下也传输
                .domain("localhost")// 域名
                .path("/")          // path
                .maxAge(Duration.ofHours(1))    // 1个小时候过期
                .sameSite("None")   // 大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外
                .build()
        // 设置Cookie Header 使用andHeader能设置多个,setHeader只能设置一个SET_COOKIE
        response.addHeader(HttpHeaders.SET_COOKIE, cookie.toString());
        return "ok";
}

5 总结

同源时cookie的存储与发送没有问题,顶级导航的情况可以看作是同源场景;

不同源场景,若 XMLHttpRequest.withCredentials=false ,则浏览器不会存储cookie;

不同源场景,且 XMLHttpRequest.withCredentials=true ,又可分为以下场景:

  • same-site

    对于使用HTTPS协议的API,浏览器会存储cookie,不论 samesite 的值;

    对于使用HTTP协议的API,浏览器会存储 samesite 的值为 Lax Strict 的cookie;

    XHR请求会带上目标域的cookie;

  • cross-site

    对于 HTTPS 协议的API返回的cookie,如果设置了属性: secure; samesite=none ,则浏览器会存储cookie。XHR请求也会带上目标域的cookie。

跨站一定跨域。

浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
【跨域】一篇文章彻底解决跨域设置cookie问题!
之前做项目的时候发现后端传过来的 SetCookie 不能正常在浏览器中使用。是因为谷歌浏览器新版本Chrome 80将Cookie的SameSite属性默认值由None变为Lax。接下来带大家解决该问题。