Chrome新增的cookie属性SameSite

今天在 chrome 浏览器中观察请求信息时发现了这样一个警告:
image.png

咦,看起来像是阻止了我的 cookie 发送。经过查询方知,原来谷歌为了防止 CSRF 攻击,已经逐步开始启用 SameSite 这个 cookie 属性,以更强制的手段来降低 CSRF 的风险。而这个特性从 76 版本后,就已经开始逐步加入到 chrome 稳定版当中了。我看了下自己的 chrome,赫,都已经 84 版了,必然命中这个特性了。

咱们去 chrome 开发工具里看一下 cookie 的属性家族。哇看起来,cookie 属性家族真是越来越庞大了:
image.png

SameSite 是干嘛的

我们来看下 sameSite 到底是个什么鬼东西。从 MDN 文档可以看到: samesite 可以阻止浏览器在跨域请求里携带 cookie。

在默认情况下,该属性的值是 Lax,即松懈的意思,这个所谓的松懈相对于以前来说其实并不松懈,它是 只允许 GET 跨域请求携带

另外一个值是 strict,即严格模式,严格标志将阻止 cookie 被浏览器发送到所有跨域目标网站,即使是常规的 GET 请求。

怎样绕过这个限制呢

虽然绕过是不安全的。但是有些场景是没有太严格的要求的,例如统计日志数据的 cgi。除了上述 2 个值之外,还可以将他声明为 none。通过显式声明 SameSite = None,开发人员仍然可以不受限制的使用跨域 cookie。

浏览器支持情况

从 Chrome 76 开始,通过启用默认默认 cookie 标记,该功能将可用。从 2020 年 7 月 14 日开始,此功能将逐步向 Stable 用户推出。但 MacOS 上还有 BUG(如果设置为 none,效果会变成 strict)。另外一个 bug 就是我自己电脑上加上 samesite 进行设置 cookie 是无效的,目前还不清楚原因,如果有大佬知道为啥不生效,还请希望大佬赐教。