溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

ASP.NET Core Cookie SameSite是什么

發(fā)布時間:2021-12-06 11:41:01 來源:億速云 閱讀:166 作者:iii 欄目:大數(shù)據(jù)

本篇內(nèi)容介紹了“ASP.NET Core Cookie SameSite是什么”的有關(guān)知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細閱讀,能夠?qū)W有所成!

在較多的項目中,Cookie 是比較常用的一種狀態(tài)保持的選擇。比如常見的例子:用戶登錄成功后,服務(wù)器通過 set-cookie 將會話Id設(shè)置到當(dāng)前域下,前端在調(diào)用后端接口時,會自動將同域下的 Cookie 攜帶上,然后后端接口再獲取到會話Id進行用戶登錄狀態(tài)的合法性驗證。

了解過 Cookie 相關(guān)知識的同學(xué)都比較清楚,Cookie 的使用上一不小心就會出現(xiàn)安全性問題,如:CSRF(Cross-site request forgery 跨站請求偽造)、XSSI(Cross Site Script Inclusion 跨站腳本包含)攻擊。為了降低這類風(fēng)險,谷歌開發(fā)了一種稱為 Cookie  SameSite 安全機制,并已經(jīng)在主流的瀏覽器中被應(yīng)用較長時間。

什么是 Cookie  SameSite

SameSite 是 Cookie 中的一個屬性,它是用來約束第三方(跨域) Cookie 傳遞的,SameSite 有 Strict、Lax、None 三個值可設(shè)置。 

Strict

Strict 是最嚴(yán)格的策略,在 Strict 下,瀏覽器不允許將 Cookie 從 A 域發(fā)送到B域。假設(shè)用戶之前在 B 域下已經(jīng)是登錄狀態(tài),A 域某頁面上有一個 B 域的跳轉(zhuǎn)鏈接,當(dāng)通過點擊 A 域下這個跳轉(zhuǎn)鏈接進入 B 域時,B 域下會出現(xiàn)未登錄的情況。這種策略的安全性很高,但其實在用戶體驗上并不好,所以使用上并不常見。

set-cookie: sid=0920770230c103809305605a;samesite=strict
Lax

Lax 策略相比 Strict 會寬一些,大多數(shù)情況也是不發(fā)送第三方 Cookie,但 鏈接(<a href="..."></a>)、預(yù)加載請求 <link rel="prerender" href="..."/>、GET 表單 <form method="GET" action="..."> 除外。假設(shè)用戶之前在 B 域下已經(jīng)是登錄狀態(tài),A 域某頁面上有一個 B 域的鏈接,當(dāng)通過點擊 A 域下這個跳轉(zhuǎn)鏈接進入 B 域時,B 域下將依然顯示登錄狀態(tài)。但如果在 A 域下發(fā)起了一個 Ajax POST 請求到 B 域的接口,這時接口是獲取不到相關(guān) Cookie 的。雖然  Lax 策略依然會存在一定的風(fēng)險,但通常來說是相對合適的選擇,所以 Lax 在一些開發(fā)語言中被設(shè)置為 Cookie SameSite 的默認值。

set-cookie: sid=0920770230c103809305605a;samesite=lax
None

在實際使用中,也會存在有一些場景確實是需要支持跨域 Cookie 傳遞(如比較常見的 A 域中 IFrame 嵌入 B 域鏈接進行使用),這時候可以選擇將 SameSite 設(shè)置為 None,但是使用 None 卻是有前提條件的,它要求必須同時設(shè)置 Secure 屬性為 true,而 Secure 設(shè)置 true 又要求 B 域是基于 HTTPS 協(xié)議來訪問的,否則依然無效。

set-cookie: sid=0920770230c103809305605a; secure; samesite=none

在 .NET Core 中的使用

下面將以 ASP.NET Core Web 應(yīng)用程序為例

var options = new CookieOptions
{
  Expires = DateTime.Now.AddHours(1),
};
_httpContextAccessor.HttpContext.Response.Cookies.Append("sid", "0920770230c103809305605a", options);
 

常規(guī)情況下,以上代碼即可完成 Cookie 的寫入,CookieOptions 還支持一些其他的配置,可根據(jù)實際情況設(shè)定。不過需要注意的是在 .NET Core 2.2 和 .NET Core 3.1 中,Cookie 的 SameSite 屬性默認值是不也一樣的,升級需要注意。

2.2 中的默認值是 SameSiteMode.Lax

ASP.NET Core Cookie SameSite是什么  

3.1 中的默認值變成了 SameSiteMode.Unspecified(表示不寫入 SameSite 屬性值,繼承瀏覽器默認的 Cookie 策略)

ASP.NET Core Cookie SameSite是什么    

IFrame 中如何解決 SameSite 問題

在基于 ASP.NET Core set-cookie 的情況下,如果需要當(dāng)前域被其他域的 IFrame 引入使用,最基本的要求是站點必須基于 HTTPS 協(xié)議,然后修改代碼將 SameSite 屬性值設(shè)置為 None,Secure 設(shè)置為 true。

var options = new CookieOptions
{
    SameSite = SameSiteMode.None,
    Secure = true
};
 
ASP.NET Core Cookie SameSite是什么 “ASP.NET Core Cookie SameSite是什么”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注億速云網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實用文章!
向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI