你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly

这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。
所以咱们今天来这么一节,废话多说点,先说说大体问题方向。

  1. 跨域如何携带 cookie
  2. chrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookie。

你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly_第1张图片

Cookie

用于服务端辨别用户身份储存在用户本地的数据。
可以解决客户端与服务端会话状态的问题,这个状态是指后端服务的状态而非通讯协议(HTTP)的状态。

Cookie 值的存储

域名下的 cookie 一般来说是最大是 4KB。当然大家也不会真的放这么多。

Name / Value

存储是以 Name=Value 的形式。

Domain / Path 作用域

Domain 是限制域名,设置为 www.lilnong.top 的话,cors.lilnong.top 就获取不到了。
Path 是限制路径,如果设置为 /cors 的话,/api 下的请求就不会携带该 cookie

Expires / Max-Age 有效性

Expires 是当前 Cookie 的过期时间,默认是会话级别。

Max-Age 是当前 Cookie 经过多少秒失效。

  1. 大于 0 是计算经过多少秒失效
  2. 等于 0 是会话级别,关闭浏览器就失效
  3. 小于 0 是指 cookie 无效,立即删除

Max-Age 的优先级比 Expires 更高。

HttpOnly 安全性

设置以后客户端脚本就无法通过 document.cookie 等方式获取。
有助于避免 XSS 攻击。

Secure 安全性

设置以后客户端只有 HTTPS 协议下才会发送给服务端。
使用 HTTPS 安全协议,可以保护 Cookie 在浏览器和 Web 服务器间的传输过程中不被窃取和篡改

SameSite 安全性

可以设置 Cookie 在什么场景下会被发送。从而屏蔽跨站时发送 cookie,用于阻止跨站请求伪造攻击(CSRF)

SameSite 可以设置下面三个值:

  1. Strict 只允许同站请求携带 Cookie。比如 lilnong.top 跳转到 www.lilnong.top/cors/,就属于同站。
  2. Laxchrome 80 后的默认值) 允许部分第三方请求场景 携带Cookie。
  3. Nonechrome 80 前的默认值) 无论是否跨站都会发送 Cookie。必须同时加上 Secure 属性,否则无效,也就是说只支持 HTTPS。

    IOS 12 的 Safari 以及老版本的一些 Chrome 会把 SameSite=none 识别成 SameSite=Strict,所以服务端必须在下发 Set-Cookie 响应头时进行 User-Agent 检测,对这些浏览器不下发 SameSite=none 属性

接下来我们来比对一下跨站的各个场景,Demo 晚点给吧。

场景类型 场景备注 Strict Lax None
链接 不发
预加载 不发
get 表单
不发
post 表单 不发 不发
iframe