http 允许在第三方网站发起对第一方网站的请求中,携带第一方网站的 cookie ,这很不安全。Google 起草了一份草案来改进 HTTP 协议,那就是为 Set-Cookie 响应头新增 SameSite 属性,它用来标明这个 cookie 是个“同站 cookie”,同站 cookie 只能作为第一方 cookie,不能作为第三方 cookie。
SameSite 有两个属性值,分别是 Strict 和 Lax
http 允许在第三方网站发起对第一方网站的请求中,携带第一方网站的 cookie ,这很不安全。Google 起草了一份草案来改进 HTTP 协议,那就是为 Set-Cookie 响应头新增 SameSite 属性,它用来标明这个 cookie 是个“同站 cookie”,同站 cookie 只能作为第一方 cookie,不能作为第三方 cookie。
SameSite 有两个属性值,分别是 Strict 和 Lax
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。浏览器每次 http 请求都会携带 cookie 发个服务器,服务器通过 cookie 记住该用户的状态。但是 cookie 最初被设计成了允许在第三方网站发起的跨站请求携带,这成了 http 一个的安全漏洞。
Update your browser to view this website correctly. Update my browser now