Red de conocimiento informático - Computadora portátil - Origen de la cookie y mismo sitio

Origen de la cookie y mismo sitio

Dirección original: https://alphahinex.github.io/2021/05/30/same-origin-and-same-site-of-cookie/

descripción: " ¿El mismo origen en las cookies equivale al mismo sitio "

fecha: 2021.05.30 10:34

categorías:

- Web

etiquetas: [Web, HTML]

palabras clave: origen, sitio, mismo origen, origen cruzado, mismo sitio, sitio cruzado, CSRF, SOP, puerto, cookie

Datos almacenados en el navegador, como localStorage e IndexedDB, está dividido por origen. Cada fuente tiene su propio espacio de almacenamiento independiente y los scripts JavaScript de una fuente no pueden leer ni escribir datos pertenecientes a otras fuentes, lo que se denomina política del mismo origen (SOP).

Sin embargo, las cookies utilizan diferentes definiciones de origen cuando están sujetas a la misma política de origen.

En términos generales:

Según la especificación estándar actual del mecanismo de gestión de estado HTTP de cookies (rfc6265):

Es decir, el mismo host, diferentes servicios de puerto ¡Durante este tiempo, las cookies se pueden compartir!

Además:

Como se puede ver en lo anterior, Cookie no proporciona aislamiento basado en esquema y puerto, es decir:

La definición de homología en Cookie, etc. El valor es la misma definición de sitio sin esquema, independientemente del esquema.

¡De forma predeterminada, las cookies se pueden compartir entre sitios con el mismo eTLD 1!

Además, el servidor puede configurar la disponibilidad de la cookie a través del encabezado Set-Cookie de respuesta. Los atributos relacionados incluyen Dominio, Ruta, Seguridad, etc.

Por ejemplo, a través del atributo Ruta, puede especificar el prefijo de ruta de URL que está permitido para obtener cookies.

El estándar rfc6265 actual se implementó en abril de 2011. En la versión 02 posterior de la propuesta rfc6265bis, se agregó el atributo SameSite al encabezado de respuesta Set-Cookie para restringir el procesamiento transfronterizo de cookies del sitio web. Comportamiento de acceso para mejorar la seguridad y reducir el riesgo de ataques CSRF.

La última versión de esta propuesta es draft-ietf-httpbis-rfc6265bis-07 (prevista para el 10 de junio de 2021). En esta versión, el atributo SameSite tiene tres valores:

. En esta versión de la propuesta, se agrega una parte del esquema a la definición del mismo sitio, que es consistente con el último estándar HTML: solo cuando el esquema y el eTLD 1 son iguales al mismo tiempo se puede considerar el mismo sitio.

上篇: Cliente de producto de gasolinera 3g 下篇: Estrategia de selección de equipo de alto impacto crítico del juego móvil DNF Jianzong

Artículos populares