您现在的位置是:网站首页 > SameSite Cookie 机制文章详情
SameSite Cookie 机制
陈川
【
前端安全
】
53089人已围观
5194字
SameSite Cookie 机制的基本概念
SameSite Cookie 是一种用于控制浏览器如何处理跨站点请求中 Cookie 发送行为的机制。它通过设置 Cookie 的 SameSite 属性来限制 Cookie 的发送范围,从而减少跨站点请求伪造(CSRF)攻击的风险。该机制最初由 Google 提出,并逐渐被主流浏览器采纳。
Cookie 的 SameSite 属性可以设置为以下三个值之一:
Strict:最严格的模式,Cookie 仅在同站点请求中发送Lax:相对宽松的模式,允许在某些安全的跨站点请求中发送 CookieNone:完全禁用 SameSite 限制,Cookie 会在所有请求中发送(必须同时设置Secure属性)
SameSite Cookie 的工作原理
当浏览器发起请求时,会根据请求的发起方式和目标 URL 来判断是否发送带有 SameSite 属性的 Cookie。判断过程主要考虑两个因素:
- 请求是否是"同站点"(same-site)请求
- 请求是否是"顶层导航"(top-level navigation)
同站点请求指的是请求的目标 URL 与当前页面的 URL 具有相同的"有效顶级域名+1"(eTLD+1)。例如:
https://example.com和https://sub.example.com是同站点https://example.com和https://example.org是跨站点
// 设置 SameSite Cookie 的示例
document.cookie = "sessionid=abc123; SameSite=Lax; Secure";
SameSite Strict 模式
在 Strict 模式下,Cookie 仅在同站点请求中发送。这意味着:
- 用户从其他网站点击链接跳转到你的网站时,不会携带
StrictCookie - 即使是通过
<a>标签的正常导航也不会发送 Cookie - 只有用户直接在地址栏输入 URL 或从书签访问时才会发送 Cookie
这种模式提供了最高级别的安全性,但可能影响用户体验。例如:
<!-- 用户从 example.org 点击这个链接 -->
<a href="https://example.com/profile">查看个人资料</a>
<!-- 访问 example.com/profile 时不会发送 Strict Cookie -->
SameSite Lax 模式
Lax 模式是 Strict 和 None 之间的折中方案。在这种模式下:
- 允许在安全的跨站点请求中发送 Cookie,如顶层导航(通过
<a>标签、<form method="GET">) - 阻止不安全的跨站点请求发送 Cookie,如
<form method="POST">、fetch()、XMLHttpRequest等
// Lax 模式下的行为示例
document.cookie = "user_token=xyz789; SameSite=Lax; Secure";
// 以下情况会发送 Cookie:
// 1. 用户点击 <a href="https://example.com">
// 2. 用户提交 <form method="GET" action="https://example.com">
// 以下情况不会发送 Cookie:
// 1. 通过 fetch() 发起的跨站点 POST 请求
// 2. 通过 <form method="POST"> 提交的跨站点表单
SameSite None 模式
None 模式完全禁用 SameSite 限制,允许在所有跨站点请求中发送 Cookie。但需要注意:
- 必须同时设置
Secure属性,即 Cookie 只能通过 HTTPS 传输 - 这种模式主要用于需要跨站点共享 Cookie 的场景,如嵌入式内容、第三方服务等
// 设置 None 模式的 Cookie
document.cookie = "third_party_id=def456; SameSite=None; Secure; Path=/";
SameSite Cookie 的浏览器兼容性
SameSite Cookie 机制在不同浏览器中的实现有所差异:
- Chrome 从 80 版本开始默认将没有明确指定
SameSite的 Cookie 视为Lax - Firefox 和 Safari 也逐步采用了类似的默认行为
- 旧版浏览器可能会忽略
SameSite属性
可以通过以下方式检测浏览器是否支持 SameSite:
function supportsSameSite() {
try {
document.cookie = "test=1; SameSite=None; Secure";
return document.cookie.includes("test=1");
} catch (e) {
return false;
}
}
SameSite Cookie 的实际应用场景
防止 CSRF 攻击
SameSite Cookie 是防御 CSRF 攻击的有效手段。通过将身份验证 Cookie 设置为 Strict 或 Lax 模式,可以阻止恶意网站利用用户的登录状态发起伪造请求。
// 设置身份验证 Cookie 为 Strict 模式
document.cookie = "auth_token=abc123; SameSite=Strict; Secure; HttpOnly";
第三方服务集成
对于需要跨站点共享 Cookie 的第三方服务(如支付网关、社交登录等),可以使用 SameSite=None:
// 支付网关需要的第三方 Cookie
document.cookie = "payment_session=xyz789; SameSite=None; Secure; Path=/checkout";
单点登录(SSO)系统
在 SSO 系统中,可能需要谨慎设置 SameSite 属性以确保登录状态能在相关域名间共享:
// SSO 系统的主 Cookie
document.cookie = "sso_token=123456; SameSite=Lax; Secure; Domain=.company.com";
SameSite Cookie 的常见问题与解决方案
登录状态丢失
将身份验证 Cookie 设置为 Strict 可能导致用户从邮件或外部链接访问时登录状态丢失。解决方案:
- 使用
Lax模式替代Strict - 实现额外的身份验证流程(如临时令牌)
// 更好的做法:使用 Lax 模式
document.cookie = "session=abc123; SameSite=Lax; Secure; HttpOnly";
第三方组件失效
某些第三方库或插件可能依赖跨站点 Cookie。解决方法:
- 联系供应商获取支持 SameSite 的版本
- 为必要的 Cookie 设置
SameSite=None
// 为必要的第三方 Cookie 设置 None
document.cookie = "analytics_id=def456; SameSite=None; Secure";
测试与调试
测试 SameSite Cookie 行为时,可以使用 Chrome 的开发者工具:
- 打开 Application > Cookies
- 查看 Cookie 的 SameSite 属性
- 使用 Network 面板检查哪些请求携带了 Cookie
SameSite Cookie 的最佳实践
- 为所有 Cookie 显式设置
SameSite属性,不要依赖浏览器默认值 - 身份验证 Cookie 推荐使用
Lax模式平衡安全性和可用性 - 必须使用跨站点 Cookie 时,确保同时设置
Secure和SameSite=None - 在生产环境部署前充分测试所有关键流程
- 监控和记录 Cookie 相关错误,及时发现兼容性问题
// 最佳实践示例:设置多种 Cookie
// 身份验证 Cookie
document.cookie = "auth=token123; SameSite=Lax; Secure; HttpOnly; Path=/";
// 跨站点需要的 Cookie
document.cookie = "third_party=abc456; SameSite=None; Secure; Path=/widget";
// 仅限同站点的首选项 Cookie
document.cookie = "prefs=dark_mode; SameSite=Strict; Path=/settings";
SameSite Cookie 与相关安全机制
与 CSRF Token 的配合
虽然 SameSite Cookie 能有效防止 CSRF,但建议与其他防护措施结合使用:
<!-- 表单中同时使用 CSRF Token -->
<form action="/transfer" method="POST">
<input type="hidden" name="csrf_token" value="random123">
<!-- 其他表单字段 -->
</form>
与 CORS 的关系
SameSite Cookie 控制 Cookie 的发送,而 CORS 控制跨源资源访问。两者可以协同工作:
// 后端需要设置适当的 CORS 头部
// Access-Control-Allow-Origin: https://trusted-site.com
// Access-Control-Allow-Credentials: true
// 前端 fetch 请求
fetch('https://api.example.com/data', {
credentials: 'include' // 需要发送 Cookie
});
与 Secure 和 HttpOnly 的组合
为了最大安全性,通常将 SameSite 与其他 Cookie 属性组合使用:
// 高度安全的 Cookie 设置
document.cookie = "admin_session=supersecret; SameSite=Strict; Secure; HttpOnly; Path=/admin";
SameSite Cookie 的未来发展
随着 Web 安全需求的不断提高,SameSite Cookie 机制可能会继续演进:
- 更严格的默认设置:更多浏览器可能默认将 Cookie 视为
Lax或Strict - 更细粒度的控制:可能出现新的属性值或配置选项
- 与其他安全机制的深度集成:如与 WebAuthn、Origin Policy 等结合
开发者应关注以下方面的更新:
- 主流浏览器的发布说明
- Web 安全标准(如 IETF RFC)的更新
- 常用框架和库的安全公告
上一篇: 防御 CSRF 的常见方法(如 Token 验证)
下一篇: 双重提交 Cookie 方案
