Есть ли смысл в csrf токене при использовании samesite cookie?

Question

alestro @alestro

PHP

Есть ли смысл в csrf токене при использовании samesite cookie?

Собственно вопрос в названии, а именно нужна ли дополнительная защита от csrf при использовании samesite кук?

Вопрос задан более двух лет назад
108 просмотров

1 комментарий

Подписаться 1 Простой 1 комментарий

Помогут разобраться в теме Все курсы

Skillbox

Веб-разработчик на PHP

9 месяцев

Далее
Хекслет

PHP-разработчик

10 месяцев

Далее
Нетология

Веб-разработчик с нуля: профессия с выбором специализации

14 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 1

3 комментария

alestro @alestro Автор вопроса

Ну так samesite кука просто не будет отправлена вместе с кросдоменным запросом. Насколько я понимаю в этом и есть смысл simesite.

Написано более двух лет назад
Ипатьев @ipatiev Куратор тега PHP

Вы правы, у меня same site ассоциировался с отправкой кук на сторонние сайты.
Я отредактирую ответ

Написано более двух лет назад
Сергей delphinpro @delphinpro Куратор тега PHP

надо помнить, что samesite=laх не защищает от поддельных GET запросов.

Он вообще ни отчего не защищает. Есть стандарты, которым следуют. А есть браузеры (в теории) которые положат на стандарты.
Доверять нельзя никому.

Написано более двух лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

+2 ещё

Простой
Как сконвертировать файл в формате excel в pdf?
- 3 подписчика
- 14 нояб.
- 339 просмотров
4

ответа
PHP

+1 ещё

Простой
Запрос на создание таблицы в clickhouse Yandex выдает ошибку 400 Bad Request, что не так с моим запросом?
- 1 подписчик
- 13 нояб.
- 225 просмотров
4

ответа
PHP

+2 ещё

Простой
Создание элемента с необычной формой и прозрачным фоном и рамкой?
- 1 подписчик
- 03 нояб.
- 191 просмотр
0

ответов
PHP

+3 ещё

Средний
Apache 2.4 и php 8.4 под windows. Почему не загружаются модули curl, openssl?
- 2 подписчика
- 01 нояб.
- 311 просмотров
3

ответа
PHP

Простой
Как объединить в один код 2 строчки $array[$key]?
- 2 подписчика
- 31 окт.
- 284 просмотра
2

ответа
PHP

+1 ещё

Простой
Как оптимально подтягивать og:img для списка статей с разных сайтов?
- 1 подписчик
- 27 окт.
- 150 просмотров
1

ответ
PHP

+2 ещё

Простой
Как реализовать зеркало сайт Тильда?
- 1 подписчик
- 22 окт.
- 331 просмотр
0

ответов
PHP

+1 ещё

Простой
Почему перестала работать ЮКасса?
- 1 подписчик
- 19 окт.
- 377 просмотров
1

ответ
PHP

Простой
Как вычислить результат математических операций в строке?
- 1 подписчик
- 17 окт.
- 304 просмотра
3

ответа
PHP

Простой
Можно ли в PHP вкладывать однострочные комментарии // в многострочные /* */?
- 1 подписчик
- 16 окт.
- 294 просмотра
4

ответа
Показать ещё Загружается…

PHP-разработчик

FoodSoul • Калининград

от 180 000 до 250 000 ₽

PHP- разработчик (Symfony)

IT-Spirit • Москва

от 230 000 до 320 000 ₽

Backend PHP developer

Office-Expert.kz

от 200 000 до 290 000 ₽

Смысл есть, так как браузер пользователя может вести себя не так, как вы ожидаете, и игнорировать samesite.

Answer 1 · 2023-06-10 18:18:21

Нет, не нужна, но надо помнить, что samesite=laх не защищает от поддельных GET запросов.
Хотя конечно в первую очередь GET запросы не должны использоваться для изменения состояния сервера
Хотя вот коллеги поправляют, что ещё зависит от браузера, поддерживает ли он этот стандарт.

Есть ли смысл в csrf токене при использовании samesite cookie?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт