Las cookies de hoy en día pueden tener marcas HTTPOnly, Secure y SameSite. Los propósitos de HTTPOnly y Secure flags son bastante claros. Pero, ¿qué impide exactamente y cómo lo hacen los scripts de SameSite?
Además, ¿cómo se vería un escenario de "ataque" o "mal uso" exitoso cuando no se usa la marca SameSite?
Los objetivos de la bandera SameSite son:
La respuesta real debería ser, como siempre: depende de su escenario de uso.
El valor Strict evitará que la cookie sea enviada por el navegador
al sitio de destino en todos los contextos de navegación entre sitios, incluso cuando se sigue una
enlazar. Por ejemplo, para un sitio web similar a GitHub, esto significaría que si un usuario conectado
sigue un enlace a un proyecto privado de GitHub publicado en un foro de discusión corporativo
o correo electrónico, GitHub no recibirá la cookie de la sesión y el usuario no podrá
Para acceder al proyecto. Un sitio web bancario sin embargo lo más probable es que no quiera
para permitir que las páginas transaccionales se vinculen desde sitios externos, por lo que el indicador Strict
sería más apropiado aquí.
El valor predeterminado Lax proporciona un equilibrio razonable entre la seguridad
y usabilidad para sitios web que desean mantener la sesión de inicio de sesión del usuario después de
El usuario llega desde un enlace externo. En el escenario GitHub anterior, la cookie de sesión
Se permitiría seguir un enlace regular desde un sitio web externo mientras se bloquea.
en métodos de solicitud propensos a CSRF (por ejemplo, POST ).
Lea otras preguntas en las etiquetas web-application http cookies websites same-origin-policy