در مورد samesite

استاد ای کاش یه مثال عملی از samesite  حل می کردید که ما بهتر متوجه بشیم چیه ؟ 

سلام.

سناریوی این سایتو مطالعه کنید، متوجه جریان میشید.

ضمن اینکه مثال توی تدریس، داخل درگاه بانکی ایران قابل انجام نیست. چون داخل درگاه ها بحث لاگین مطرح نیست و اطلاعات کارت توسط دارنده ی حساب باید تکمیل بشه(مخصوصاً رمز پویا).

مثال میتونه درمورد سایتی باشه که داخل اون سایت بحث اعتبار وجود داشته باشه و بشه اعتبارو جابجا کرد ه این موارد با samesite دو مقدار lax و strict جلوگیری میشه.

اما در مورد بقیه ی موضوعاتی که میتونه منجر به csrf بشه(البته اگر مقدار samesite خالی یا none یا lax باشه)، مثل ارسال لینکی از یک سایت به ایمیلتون تا شما اون لینک رو کلیک کنید، اگر در سورس html لینک ها یا فرم ها نگاه بندازید، میبینید اون سایت یه مقدار بعنوان csrf_token در لینک و فرم و .. . ست کرده که تا زمانیکه token متبر نباشه در سایت چیزی ثبت و تغییر ایجاد نمیشه. 

*برای مثال سورس همین صفحه رو باز کنید تگ هیدن به نام _token داخل تگ فرم یا تگ متا csrf_token

* یه نکته: اگر مقدار SameSite مشخص نشه، default اش lax هست.

* اگر none مقدار دهی شود، آزادانه کوکی ارسال میشود. هیچ سپر دفاعی در مقابل csrf وجود ندارد مگر token.. .’