kisso 3.8.1 发布新增 SameSite 防跨站 CSRF 攻击
kisso=cookiesso 基于 Cookie 的 SSO 中间件,它是一把快速开发 java Web 登录系统(SSO)的瑞士军刀。欢迎大家使用kisso!! 前后分离可选:请求 Header 票据模式, 请求 Cookie 模式 常见安全策略 Secure 标记为 Secure 的 Cookie 只应通过被HTTPS协议加密过的请求发送给服务端。使用 HTTPS 安全协议,可以保护 Cookie 在浏览器和 Web 服务器间的传输过程中不被窃取和篡改。 HTTPOnly 设置 HTTPOnly 属性可以防止客户端脚本通过 document.cookie 等方式访问 Cookie,有助于避免 XSS 攻击。 SameSite SameSite 也是这篇博客的主体,首先我们来看看这个参数的作用。 SameSite 属性可以让 Cookie 在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)。至于什么是CSRF这里就不具体说了。 SameSite 可以有下面三种值: 1、Strict仅允许一方请求携带 Cookie,即浏览器将只发送相同站点请求的 Cookie,即当前网...
