El nuevo atributo de cookie "Solo para uso exclusivo" :
... permite a los servidores afirmar que una cookie debería estar Enviado solo en un contexto de "primera parte". Esta afirmación permite al usuario agentes para mitigar el riesgo de ataques de falsificación de solicitudes entre sitios , y otras rutas relacionadas con la fuga de información de origen cruzado.
Chrome planea implementar la función en Chrome # 50 .
La especificación define First-Party
:
... como una solicitud HTTP para un recurso cuyo origen de URL coincide con el origen de la URL que el usuario ve en la barra de direcciones.
Indicar específicamente:
Las nuevas ventanas crean nuevos contextos de primera persona.
Las navegaciones de página completa crean nuevos contextos de primera persona. En particular, esto incluye tanto HTTP como
<meta>
-driven redirects.
<iframe>
's no crean nuevos contextos de primera persona; sus peticiones DEBE ser considerado en el contexto del origen de la URL la el usuario realmente ve en la barra de direcciones del agente de usuario.
Entonces, la función parece proteger contra el caso cuando CSRF se usa para enviar una solicitud POST
a un <iframe>
en la página del atacante. Pero ¿qué hay de los siguientes vectores CSRF:
-
El CSRF es un enlace o un javascript navigation a una solicitud
GET
? El usuario verá una navegación completa, supongo que no somos " t ayudó aquí. -
¿El CSRF es un javascript enviado
POST
pero el objetivo del formulario provoca una navegación completa al sitio de la víctima? Es más probable que sea poco fiable ya que elPOST
proviene de otro lugar, pero sigue siendo un total navegación.
Estoy entusiasmado con esta nueva función de Cookie, pero ¿en qué medida protege exactamente contra los ataques CSRF?