在較多的項目中,Cookie 是比較常用的一種狀態保持的選擇。比如常見的例子:用戶登錄成功后,服務器通過 set-cookie 將會話Id設置到當前域下,前端在調用后端接口時,會自動將同域下的 Cookie 攜帶上,然后后端接口再獲取到會話Id進行用戶登錄狀態的合法性驗證。
了解過 Cookie 相關知識的同學都比較清楚,Cookie 的使用上一不小心就會出現安全性問題,如:CSRF(Cross-site request forgery 跨站請求偽造)、XSSI(Cross Site Script Inclusion 跨站腳本包含)攻擊,網上也有很多這一類的介紹文章。為了降低這類風險,谷歌開發了一種稱為 Cookie SameSite 安全機制,并已經在主流的瀏覽器中被應用較長時間。
什么是 Cookie SameSite
SameSite 是 Cookie 中的一個屬性,它是用來約束第三方(跨域) Cookie 傳遞的,SameSite 有 Strict、Lax、None 三個值可設置。
Strict
Strict 是最嚴格的策略,在 Strict 下,瀏覽器不允許將 Cookie 從 A 域發送到B域。假設用戶之前在 B 域下已經是登錄狀態,A 域某頁面上有一個 B 域的跳轉鏈接,當通過點擊 A 域下這個跳轉鏈接進入 B 域時,B 域下會出現未登錄的情況。這種策略的安全性很高,但其實在用戶體驗上并不好,所以使用上并不常見。
set-cookie: sid=0920770230c103809305605a;samesite=strict
Lax
Lax 策略相比 Strict 會寬一些,大多數情況也是不發送第三方 Cookie,但 鏈接(<a href="..."></a>)、預加載請求 <link rel="prerender" href="..."/>、GET 表單 <form method="GET" action="..."> 除外。假設用戶之前在 B 域下已經是登錄狀態,A 域某頁面上有一個 B 域的鏈接,當通過點擊 A 域下這個跳轉鏈接進入 B 域時,B 域下將依然顯示登錄狀態。但如果在 A 域下發起了一個 Ajax POST 請求到 B 域的接口,這時接口是獲取不到相關 Cookie 的。雖然 Lax 策略依然會存在一定的風險,但通常來說是相對合適的選擇,所以 Lax 在一些開發語言中被設置為 Cookie SameSite 的默認值。
set-cookie: sid=0920770230c103809305605a;samesite=lax
None
在實際使用中,也會存在有一些場景確實是需要支持跨域 Cookie 傳遞(如比較常見的 A 域中 IFrame 嵌入 B 域鏈接進行使用),這時候可以選擇將 SameSite 設置為 None,但是使用 None 卻是有前提條件的,它要求必須同時設置 Secure 屬性為 true,而 Secure 設置 true 又要求 B 域是基于 HTTPS 協議來訪問的,否則依然無效。
set-cookie: sid=0920770230c103809305605a; secure; samesite=none
在 .NET Core 中的使用
下面將以 ASP.NET Core Web 應用程序為例
var options = new CookieOptions
{
Expires = DateTime.Now.AddHours(1),
};
_httpContextAccessor.HttpContext.Response.Cookies.Append("sid", "0920770230c103809305605a", options);
常規情況下,以上代碼即可完成 Cookie 的寫入,CookieOptions 還支持一些其他的配置,可根據實際情況設定。不過需要注意的是在 .NET Core 2.2 和 .NET Core 3.1 中,Cookie 的 SameSite 屬性默認值是不也一樣的,升級需要注意。
2.2 中的默認值是 SameSiteMode.Lax
3.1 中的默認值變成了 SameSiteMode.Unspecified(表示不寫入 SameSite 屬性值,繼承瀏覽器默認的 Cookie 策略)
IFrame 中如何解決 SameSite 問題
在基于 ASP.NET Core set-cookie 的情況下,如果需要當前域被其他域的 IFrame 引入使用,最基本的要求是站點必須基于 HTTPS 協議,然后修改代碼將 SameSite 屬性值設置為 None,Secure 設置為 true。
var options = new CookieOptions
{
SameSite = SameSiteMode.None,
Secure = true
};
