预防 CSRF 攻击:同站 cookie

http 允许在第三方网站发起对第一方网站的请求中,携带第一方网站的 cookie ,这很不安全。Google 起草了一份草案来改进 HTTP 协议,那就是为 Set-Cookie 响应头新增 SameSite 属性,它用来标明这个 cookie 是个“同站 cookie”,同站 cookie 只能作为第一方 cookie,不能作为第三方 cookie。

SameSite 有两个属性值,分别是 Strict 和 Lax

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×