.NET Core Cookie SameSite

原創

2020-11-13 03:28

在較多的項目中，Cookie 是比較常用的一種狀態保持的選擇。比如常見的例子：用戶登錄成功後，服務器通過 set-cookie 將會話Id設置到當前域下，前端在調用後端接口時，會自動將同域下的 Cookie 攜帶上，然後後端接口再獲取到會話Id進行用戶登錄狀態的合法性驗證。

瞭解過 Cookie 相關知識的同學都比較清楚，Cookie 的使用上一不小心就會出現安全性問題，如：CSRF（Cross-site request forgery 跨站請求僞造）、XSSI（Cross Site Script Inclusion 跨站腳本包含）攻擊，網上也有很多這一類的介紹文章。爲了降低這類風險，谷歌開發了一種稱爲 Cookie SameSite 安全機制，並已經在主流的瀏覽器中被應用較長時間。

什麼是 Cookie SameSite

SameSite 是 Cookie 中的一個屬性，它是用來約束第三方（跨域） Cookie 傳遞的，SameSite 有 Strict、Lax、None 三個值可設置。

Strict

Strict 是最嚴格的策略，在 Strict 下，瀏覽器不允許將 Cookie 從 A 域發送到Ｂ域。假設用戶之前在 B 域下已經是登錄狀態，A 域某頁面上有一個 B 域的跳轉鏈接，當通過點擊 A 域下這個跳轉鏈接進入 B 域時，B 域下會出現未登錄的情況。這種策略的安全性很高，但其實在用戶體驗上並不好，所以使用上並不常見。

set-cookie: sid=0920770230c103809305605a;samesite=strict

Lax

Lax 策略相比 Strict 會寬一些，大多數情況也是不發送第三方 Cookie，但 鏈接（<a href="..."></a>）、預加載請求 <link rel="prerender" href="..."/>、GET 表單 <form method="GET" action="..."> 除外。假設用戶之前在 B 域下已經是登錄狀態，A 域某頁面上有一個 B 域的鏈接，當通過點擊 A 域下這個跳轉鏈接進入 B 域時，B 域下將依然顯示登錄狀態。但如果在 A 域下發起了一個 Ajax POST 請求到 B 域的接口，這時接口是獲取不到相關 Cookie 的。雖然 Lax 策略依然會存在一定的風險，但通常來說是相對合適的選擇，所以 Lax 在一些開發語言中被設置爲 Cookie SameSite 的默認值。

set-cookie: sid=0920770230c103809305605a;samesite=lax

None

在實際使用中，也會存在有一些場景確實是需要支持跨域 Cookie 傳遞（如比較常見的 A 域中 IFrame 嵌入 B 域鏈接進行使用），這時候可以選擇將 SameSite 設置爲 None，但是使用 None 卻是有前提條件的，它要求必須同時設置 Secure 屬性爲 true，而 Secure 設置 true 又要求 B 域是基於 HTTPS 協議來訪問的，否則依然無效。

set-cookie: sid=0920770230c103809305605a; secure; samesite=none

在 .NET Core 中的使用

下面將以 ASP.NET Core Web 應用程序爲例

var options = new CookieOptions
{
  Expires = DateTime.Now.AddHours(1),
};
_httpContextAccessor.HttpContext.Response.Cookies.Append("sid", "0920770230c103809305605a", options);

常規情況下，以上代碼即可完成 Cookie 的寫入，CookieOptions 還支持一些其他的配置，可根據實際情況設定。不過需要注意的是在 .NET Core 2.2 和 .NET Core 3.1 中，Cookie 的 SameSite 屬性默認值是不也一樣的，升級需要注意。

2.2 中的默認值是 SameSiteMode.Lax

3.1 中的默認值變成了 SameSiteMode.Unspecified（表示不寫入 SameSite 屬性值，繼承瀏覽器默認的 Cookie 策略）

IFrame 中如何解決 SameSite 問題

在基於 ASP.NET Core set-cookie 的情況下，如果需要當前域被其他域的 IFrame 引入使用，最基本的要求是站點必須基於 HTTPS 協議，然後修改代碼將 SameSite 屬性值設置爲 None，Secure 設置爲 true。

var options = new CookieOptions
{
    SameSite = SameSiteMode.None,
    Secure = true
};

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

.NET Core Cookie SameSite

什麼是 Cookie SameSite

Strict

Lax

None

在 .NET Core 中的使用

IFrame 中如何解決 SameSite 問題

認知提升的方法

螞蟻面試：Springcloud核心組件的底層原理，你知道多少？

.NET Core 服務在 ARM64 服務器中的部署

.NET Core dump 分析

.NET Core 消息傳遞：MediatR

.NET Core Cookie SameSite

.NET Core 取消令牌：CancellationToken

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結