Samesite=none——網絡安全保障的重要措施

一、Samesite概述

Samesite是一個cookie屬性，用於限制cookie的使用範圍，以保障網絡安全。同源策略（Same Origin Policy）是web瀏覽器安全模型的一部分，它限制了一個來源的腳本如何可以與另一個源的腳本交互，以此來保護用戶的信息。但同源策略也有可疑域的漏洞，Samesite屬性可以防止這種漏洞的影響。簡單來說，Samesite屬性可以在請求中攜帶一個標記，決定了一個cookie是否隨着瀏覽器的請求一同發送到服務器端，將cookie的範圍限制在同源請求中。

二、Samesite屬性值

Samesite屬性有三種可用的值none、strict、lax。其中，strict模式下cookie僅能在當前網頁中訪問，所有具有相同站點的請求都將發送cookie及相應的授權憑證；lax模式下僅有來自“頂級”導航的 get/post 請求會帶上 Cookie，跨站點的 POST 請求也是時會帶上 Cookie 一次。

值得注意的是，Samesite屬性只在HTTPS協議下才能生效。

三、Samesite的應用場景

1、用戶身份驗證：在傳輸數據時，確保僅可發送到來源站點。Samesite可以有效地避免一些重要信息被竊取，或者Cookie信息惡意篡改。

// 示例代碼
Set-Cookie: key=value; SameSite=Strict;

2、反跨站請求偽造（CSRF）攻擊：Samesite屬性可以將Cookie權限限制在同源請求中，有效防止了跨站請求偽造攻擊。

// 示例代碼
Set-Cookie: key=value; SameSite=Lax;

3、減少不必要的請求：使用Samesite屬性可以防止某些請求進行多餘的Cookie發送，從而提高瀏覽器性能。

// 示例代碼
Set-Cookie: key=value; SameSite=None; Secure

四、Samesite的實際應用實例

Samesite應用廣泛，下面介紹其中的一些實際應用實例。

1、Google Chrome 80中使用Samesite實例

今年2月，Chrome 80推出了一個重要的安全更新，這個更新充分使用了Samesite屬性，以實現更高級別的控制Cookie傳輸。

2、Samesite屬性的應用在Azure中

Azure使用Samesite屬性來增強Web隱私和安全性，以防止跨站點攻擊。

3、Samesite屬性的應用在WordPress中

WordPress利用Samesite屬性防範跨站點腳本攻擊，確保Cookie僅限於目標源使用。

五、小結

Samesite是網絡安全保障的重要措施，它通過限制Cookie的使用範圍從而有效避免重要信息被竊取、防範跨站請求偽造攻擊，並提高了瀏覽器性能。Samesite是一項非常值得推廣的技術，但是同樣也需要因地制宜，按照實際情況不斷完善和優化。