Chrome 相同的cookie,但允许特定的域

carvr3hs  于 2022-12-16  发布在  Go
关注(0)|答案(2)|浏览(157)

bounty将在7小时后过期。回答此问题可获得+50的声誉奖励。user58446正在寻找来自声誉良好来源的答案:答案应适用于涉及iframe和不涉及iframe的情况。

我想使用SameSite=strict来保护我的cookie。但是有没有办法让它只被少数几个域访问呢?

anhgbhbe

anhgbhbe1#

要回答您的问题,是的,这是可能的。设置cookie的SameSite=strict属性,并使用domain属性指定允许访问cookie的域列表。

Set-Cookie: mycookie=myvalue; SameSite=strict; domain=www.example.com;

这里,mycookie将仅可从www.example.com域访问;其他域将被阻止。
SameSite=strict属性可用于涉及iframe或不涉及iframe的情况。无论哪种情况,domain属性都用于将对Cookie的访问限制在特定的域列表中。

wvt8vs2t

wvt8vs2t2#

是的,可以只允许某些域访问具有SameSite=strict属性的cookie。这可以通过在cookie上设置Secure属性并在Domain属性中指定允许访问cookie的域来实现。
例如,如果要允许example.comexample.org域访问Cookie,则可以将Domain属性设置为example.com; example.org。这将防止任何其他域访问Cookie,但仍允许指定的域访问它。
请务必注意,只有在设置了Secure属性的情况下才应设置Domain属性,否则Cookie将被视为不安全,不会在任何请求中发送。此外,SameSite属性应设置为strict,以防止在跨站点请求中发送Cookie。
总而言之,要允许具有SameSite=strict属性的Cookie仅由某些域访问,您应该在Cookie上设置SecureDomain属性,并在“域”属性中指定允许访问Cookie的域。这将有助于确保您的Cookie是安全的,并且只能由您指定的域访问。

相关问题