关于安全问题,浏览器提供商允许跨站点 cookie 是否可以原谅?
regarding security concerns, are browser providers excusable for allowing cross site cookies?
关于安全问题,浏览器提供商允许跨站点 cookie 是否可以原谅?
它的任何重要用途是否证明了这种危险机制的存在?
见this reference
没有
网站管理员可以要求(现代)浏览器仅在具有 SameSite 属性的第一方时发送 cookie:
Set-Cookie: key=value; HttpOnly; SameSite=strict
https://www.sjoerdlangkemper.nl/2016/04/14/preventing-csrf-with-samesite-cookie-attribute/
请注意,从另一个网站访问该网站时,可能不会发送 cookie。
关于安全问题,浏览器提供商允许跨站点 cookie 是否可以原谅? 它的任何重要用途是否证明了这种危险机制的存在?
见this reference
没有
网站管理员可以要求(现代)浏览器仅在具有 SameSite 属性的第一方时发送 cookie:
Set-Cookie: key=value; HttpOnly; SameSite=strict
https://www.sjoerdlangkemper.nl/2016/04/14/preventing-csrf-with-samesite-cookie-attribute/
请注意,从另一个网站访问该网站时,可能不会发送 cookie。