HTTP 请求标头 Sec-Fetch-Mode 值“navigate”是否指示 SameSite Cookie 策略中使用的顶级导航?

Does the HTTP request header Sec-Fetch-Mode value "navigate" indicate top-level navigation used in SameSite cookie policy?

提问人:melanie 提问时间:10/24/2023 更新时间:10/24/2023 访问量:33

问:

背景:我正在开发一个应用程序,我正在研究通过修改 cookie 的默认值来进一步限制我的跨站点 cookie。在进行更改之前,我正在进行调查,以便更好地了解哪些请求将受到从 to 的更改的影响。SameSiteLaxStrict

根据 XS 泄漏

和之间的唯一区别是,该模式允许将 Cookie 添加到由跨站点顶级导航触发的请求中。这使得 cookie 更容易部署,因为它们不会破坏指向您的应用程序的传入链接。LaxStrictLaxLax

(另请参阅:此 RFC 草案)

为了缩小日志中的相关请求范围,我正在查看标头设置为 的请求。我想知道我是否也可以通过查看标题来了解哪些交互涉及顶级导航。该标头的值是否与用于发送 Cookie 的顶级导航的定义完全对应?Sec-Fetch-Sitecross-siteSec-Fetch-ModenavigationSameSite Lax

HTTP Cookie http-headers xss samesite

评论

1赞 Heiko Theißen 10/24/2023
哈哈 还与 iframe 中的导航请求一起使用,因此它不是顶级的。Sec-Fetch-Mode: navigate

答: 暂无答案

上一个:JSP/Servlet Web 应用程序中的 XSS 防护

下一个:如何防止 HTML/PHP 的 XSS?