其他分享
首页 > 其他分享> > 同源、跨域、跨站、SameSite与withCredentials

同源、跨域、跨站、SameSite与withCredentials

作者:互联网

同源策略(Same-origin policy)

用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。
同源策略作为浏览器的安全基石,判断较严格。
同源定义:协议+主机名+端口 均一致
如:https: www.baidu.com 协议为https,https默认端口443,主机名为www.baidu.com[1]
https://zhidao.baidu.com/https://wenku.baidu.com/ 属于跨源(跨域)

跨域(cross-origin)

当一个请求url的协议、域名、端口三者之间的任意一个与当前页面url不同即为跨域**。
也就是说
违反同源策略即为跨域**


跨站(cross-site)

cookies的“同站(Same Site)”:

Cookie的同源主要用于防止CRSF,Cookie的校验较宽松,Cookie只关注域名,忽略协议和端口,只要两个 URL 的 eTLD+1 相同即可,eTLD 表示有效顶级域名,注册于 Mozilla 维护的公共后缀列表(Public Suffix List)中,例如,.com、.co、.uk、.github.io 等。而 eTLD+1 则表示,有效顶级域名+二级域名,例如taobao.com等。
如:

可以看出Cookie的“同源”比浏览器同源条件会宽松一点。

如何检查请求是否为 “同站”,“同源”,或“跨站”

Chrome 发送请求时会附带一个 Sec-Fetch-Site HTTP Header 。截至2020年4月,还没有其他浏览器支持 Sec-Fetch-Site,这个 HTTP Header 将有以下值之一:

通过检查 Sec-Fetch-Site 的值,您可以确定请求是 “同站”,“同源” 还是 “跨站”。

CORS中的withCredentials 与 SameSite

  1. **withCredentials **
    1. 作用:允许跨域AJAX请求携带(发送)Cookie
    2. 基于CORS,使用条件:服务器需要显式返回Access-Control-Allow-Credentials头信息并只能设置为特定域名,不能设置为*
    3. 客户端开启:xhr.withCredentials = true;
    4. 默认情况,即使开启跨域,withCredentials默认值为false,没有设置为true时,请求仍然是不会发送Cookie的
    5. 更多见参考[1]
  2. SameSite
    1. 作用:该属性可分别限制整个页面中的每个http的Cookie跨站情况(即其意图和CSRF相关)
    2. 使用:HTTP响应头 Set-Cookie 的属性之一,
    3. 带来的问题:在chrome86以后的版本中,之前上线跨站的Cookie用不了,就是说SameSite的新规则会禁用
      1. 解决:使用https协议且响应头设置为SameSite=none;Secure 表示关闭Cookie同站规则,允许跨域发送Cookie

Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段

Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

原来的时候设置CORS后所有请求即可携带cookies,但是在Chrome80版本之后,跨站之后,Chrome默认SameSite=Lax将使得cookies不同源同样无法携带,并提示CORS,此时还需要后端在响应头如下配置即可禁用cookie的这个字段SameSite的规则

SameSite=None; Secure

两个都配置的响应头如下所示:

图片1-响应头信息

小结


参考:

  1. 跨域和跨站的基本概念 - Alex Zhong
  2. 浏览器的同源策略-MDN
  3. 跨域资源共享CORS详解 - 阮一峰
  4. Cookie的SameSite属性 - 阮一峰
  5. 当CORS遇到SameSite - 掘金-科学划水_玄学编程
  6. SameSite Cookies - MDN
  7. 什么是跨域?出现原因及解决办法 - segmengfault-HZM_无止境
  8. 跨域资源共享(CORS)- MDN
  9. 同源策略 - Web安全笔记
  10. HTTP Cookies - MDN
  11. 浏览器同源策略问题 - Cookie访问限制 - 掘金-CoderJie
  12. Nginx常用语法
  13. SameSite那些事 - 知乎- 怡红公子
  14. 预测最近面试会考 Cookie 的 SameSite 属性 - 掘金 - 冴羽
  15. 如何区分两个地址是同站(Same site)还是跨站(Cross site)?- 掘金- zhangbao90s
  16. 前端跨域解决方案归纳整理-Jacky-Summer
  17. 什么是CSRF - CSDN-炎升

需要进一步整理的


标签:跨站,withCredentials,Cookie,同源,SameSite,com,跨域
来源: https://blog.csdn.net/Super_Tyr/article/details/123307261