中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

ASP.NET Core Cookie SameSite是什么

發布時間:2021-12-06 11:41:01 來源:億速云 閱讀:168 作者:iii 欄目:大數據

本篇內容介紹了“ASP.NET Core Cookie SameSite是什么”的有關知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領大家學習一下如何處理這些情況吧!希望大家仔細閱讀,能夠學有所成!

在較多的項目中,Cookie 是比較常用的一種狀態保持的選擇。比如常見的例子:用戶登錄成功后,服務器通過 set-cookie 將會話Id設置到當前域下,前端在調用后端接口時,會自動將同域下的 Cookie 攜帶上,然后后端接口再獲取到會話Id進行用戶登錄狀態的合法性驗證。

了解過 Cookie 相關知識的同學都比較清楚,Cookie 的使用上一不小心就會出現安全性問題,如:CSRF(Cross-site request forgery 跨站請求偽造)、XSSI(Cross Site Script Inclusion 跨站腳本包含)攻擊。為了降低這類風險,谷歌開發了一種稱為 Cookie  SameSite 安全機制,并已經在主流的瀏覽器中被應用較長時間。

什么是 Cookie  SameSite

SameSite 是 Cookie 中的一個屬性,它是用來約束第三方(跨域) Cookie 傳遞的,SameSite 有 StrictLaxNone 三個值可設置。 

Strict

Strict 是最嚴格的策略,在 Strict 下,瀏覽器不允許將 Cookie 從 A 域發送到B域。假設用戶之前在 B 域下已經是登錄狀態,A 域某頁面上有一個 B 域的跳轉鏈接,當通過點擊 A 域下這個跳轉鏈接進入 B 域時,B 域下會出現未登錄的情況。這種策略的安全性很高,但其實在用戶體驗上并不好,所以使用上并不常見。

set-cookie: sid=0920770230c103809305605a;samesite=strict
Lax

Lax 策略相比 Strict 會寬一些,大多數情況也是不發送第三方 Cookie,但 鏈接(<a href="..."></a>)預加載請求 <link rel="prerender" href="..."/>GET 表單 <form method="GET" action="..."> 除外。假設用戶之前在 B 域下已經是登錄狀態,A 域某頁面上有一個 B 域的鏈接,當通過點擊 A 域下這個跳轉鏈接進入 B 域時,B 域下將依然顯示登錄狀態。但如果在 A 域下發起了一個 Ajax POST 請求到 B 域的接口,這時接口是獲取不到相關 Cookie 的。雖然  Lax 策略依然會存在一定的風險,但通常來說是相對合適的選擇,所以 Lax 在一些開發語言中被設置為 Cookie SameSite 的默認值。

set-cookie: sid=0920770230c103809305605a;samesite=lax
None

在實際使用中,也會存在有一些場景確實是需要支持跨域 Cookie 傳遞(如比較常見的 A 域中 IFrame 嵌入 B 域鏈接進行使用),這時候可以選擇將 SameSite 設置為 None,但是使用 None 卻是有前提條件的,它要求必須同時設置 Secure 屬性為 true,而 Secure 設置 true 又要求 B 域是基于 HTTPS 協議來訪問的,否則依然無效。

set-cookie: sid=0920770230c103809305605a; secure; samesite=none

在 .NET Core 中的使用

下面將以 ASP.NET Core Web 應用程序為例

var options = new CookieOptions
{
 Expires = DateTime.Now.AddHours(1),
};
_httpContextAccessor.HttpContext.Response.Cookies.Append("sid", "0920770230c103809305605a", options);
 

常規情況下,以上代碼即可完成 Cookie 的寫入,CookieOptions 還支持一些其他的配置,可根據實際情況設定。不過需要注意的是在 .NET Core 2.2 和 .NET Core 3.1 中,Cookie 的 SameSite 屬性默認值是不也一樣的,升級需要注意。

2.2 中的默認值是 SameSiteMode.Lax

ASP.NET Core Cookie SameSite是什么  

3.1 中的默認值變成了 SameSiteMode.Unspecified(表示不寫入 SameSite 屬性值,繼承瀏覽器默認的 Cookie 策略)

ASP.NET Core Cookie SameSite是什么    

IFrame 中如何解決 SameSite 問題

在基于 ASP.NET Core set-cookie 的情況下,如果需要當前域被其他域的 IFrame 引入使用,最基本的要求是站點必須基于 HTTPS 協議,然后修改代碼將 SameSite 屬性值設置為 None,Secure 設置為 true。

var options = new CookieOptions
{
   SameSite = SameSiteMode.None,
   Secure = true
};
 
ASP.NET Core Cookie SameSite是什么 “ASP.NET Core Cookie SameSite是什么”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站,小編將為大家輸出更多高質量的實用文章!
向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

凤庆县| 平顺县| 怀安县| 昆山市| 汾西县| 阆中市| 长丰县| 张家川| 曲麻莱县| 日喀则市| 万盛区| 贡山| 广德县| 雷波县| 宝坻区| 新余市| 新河县| 绥中县| 海阳市| 龙游县| 新巴尔虎左旗| 汝州市| 万载县| 大宁县| 龙胜| 越西县| 井研县| 新干县| 潞城市| 阿拉尔市| 正安县| 海阳市| 黄龙县| 天门市| 青龙| 凤凰县| 屯门区| 长乐市| 丰顺县| 西安市| 连城县|