如何解决相同网站内容的安全政策
像很多人一样,我在SameSite和安全性方面遇到一些问题。
当我们的用户想要付款时,他将被重定向到付款平台。付款后,他将被重定向到我们的网站。
问题在于,使用chrome等浏览器后,他不再登录;并且我们无法再显示订单信息。我们的许多用户不理解,并尝试订购多个时间。
据我了解(How can I redirect after OAUTH2 with SameSite=Strict and still get my cookies?),由于默认情况下Lax的网站政策相同,当他被重定向到付款界面然后又回到我们的网站时,Cookie链断开了,我们的网站未发送,这就是为什么我们的用户不再连接的原因。
我可以将Samesite设置为none,但这意味着我们的网站容易受到攻击。
我还对内容安全策略进行了一些研究,并想知道使用CSP是否可以设置Samesite = none并使用CSP来防止?
解决方法
如果您未指定samesite标志,则只有Chrome / Edge会将其默认为Lax。在Chromium或其他浏览器中,将Cookie设置为SameSite = none不会使它们变得比“默认宽松”之前更不安全。
默认情况下,Lax保护您的用户免受跟踪和CSRF的侵害。如果设置了其他CSRF缓解措施,则在设置SameSite = none时可能不会受到攻击。在这种情况下,CSP不能为您提供帮助。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。