¿Está configurando el atributo Same-Site de una cookie para que sea lo mismo que no establecer el atributo Same-Site?

7

La pregunta está en el título. Si hay diferencias ¿cuáles son?

    
pregunta user157829 29.08.2017 - 00:07
fuente

1 respuesta

8
  

¿La configuración del atributo Same-Site de una cookie es laxa que no establece el atributo Same-Site?

No. La configuración de SameSite=lax es más segura que omitir el atributo. (Pero si su implementación se basa actualmente en solicitudes de origen cruzado, vuelva a verificar que agregar el atributo no interrumpa nada).

Aquí están las diferencias:

  • Cuando no establece el atributo SameSite , la cookie siempre se envía.

  • Con SameSite=lax , la cookie solo se envía en las solicitudes del mismo sitio o en la navegación de nivel superior con un método HTTP seguro. Es decir, no se enviará con solicitudes de dominio cruzado POST o al cargar el sitio en un marco de origen cruzado, pero se enviará cuando navegue al sitio a través de un enlace estándar de nivel superior <a href=...> .

  • Con SameSite=strict (o un valor no válido), la cookie nunca se envía en solicitudes entre sitios. Incluso al hacer clic en un enlace de nivel superior en un dominio de terceros a su sitio, el navegador se negará a enviar la cookie.

Para obtener más información, consulte el borrador de RFC y Sjoerd's < a href="https://www.sjoerdlangkemper.nl/2016/04/14/preventing-csrf-with-samesite-cookie-attribute/"> publicación de blog .

(También tome nota de la compatibilidad del navegador actualmente limitada .)

    
respondido por el Arminius 29.08.2017 - 01:02
fuente

Lea otras preguntas en las etiquetas