Есть ли смысл в csrf токене при использовании samesite cookie?

Question

alestro @alestro

PHP

Есть ли смысл в csrf токене при использовании samesite cookie?

Собственно вопрос в названии, а именно нужна ли дополнительная защита от csrf при использовании samesite кук?

Вопрос задан более года назад
99 просмотров

1 комментарий

Подписаться 1 Простой 1 комментарий

Пригласить эксперта

Ответы на вопрос 1

3 комментария

alestro @alestro Автор вопроса

Ну так samesite кука просто не будет отправлена вместе с кросдоменным запросом. Насколько я понимаю в этом и есть смысл simesite.

Написано более года назад
Ипатьев @ipatiev Куратор тега PHP

Вы правы, у меня same site ассоциировался с отправкой кук на сторонние сайты.
Я отредактирую ответ

Написано более года назад
Сергей delphinpro @delphinpro Куратор тега PHP

надо помнить, что samesite=laх не защищает от поддельных GET запросов.

Он вообще ни отчего не защищает. Есть стандарты, которым следуют. А есть браузеры (в теории) которые положат на стандарты.
Доверять нельзя никому.

Написано более года назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

Простой
Как сделать URL — сначала регион а потом домен?
- 1 подписчик
- 16 часов назад
- 75 просмотров
1

ответ
PHP

Средний
Как проработать ключи в массиве php?
- 1 подписчик
- 21 час назад
- 107 просмотров
1

ответ
PHP

Простой
Сохранить Json файл в котором присутствует base64 отправленый без urlencode?
- 1 подписчик
- вчера
- 42 просмотра
1

ответ
PHP

+2 ещё

Простой
Устанавливать ли в php таймзону пользователя?
- 1 подписчик
- вчера
- 188 просмотров
3

ответа
PHP

+1 ещё

Средний
PHP и RabbitMQ ошибка 504 Gateway Time-out в консьюмере?
- 2 подписчика
- 28 янв.
- 162 просмотра
0

ответов
PHP

Простой
Как в PHP создать свою глобальную функцию?
- 1 подписчик
- 28 янв.
- 776 просмотров
3

ответа
PHP

Простой
Можно ли прикрутить нативную функцию?
- нет подписчиков
- 27 янв.
- 204 просмотра
2

ответа
PHP

+1 ещё

Средний
Почему после обновления docker перестали нормально синхронизироваться файлы?
- 2 подписчика
- 26 янв.
- 173 просмотра
0

ответов
PHP

+1 ещё

Простой
Как открыть веб-приложение, написанное на php?
- 1 подписчик
- 25 янв.
- 2828 просмотров
2

ответа
PHP

Простой
Почему при выводе дробных числ появляются лишние цифры?
- 1 подписчик
- 23 янв.
- 181 просмотр
2

ответа
Показать ещё Загружается…

Middle PHP-developer / PHP-разработчик

Wanted.

До 250 000 ₽

PHP разработчик

Living Core

от 150 000 до 200 000 ₽

PHP разработчик

Хабр • Москва

от 250 000 до 300 000 ₽

Обход базы контактов и приглашение их на новую платформу

02 февр. 2025, в 04:45

200 руб./в час

Перенести слитый сайт в tg-mini app

02 февр. 2025, в 00:55

2500 руб./за проект

Оптимизировать работу сайта

02 февр. 2025, в 00:25

5000 руб./за проект

Смысл есть, так как браузер пользователя может вести себя не так, как вы ожидаете, и игнорировать samesite.

Answer 1 · 2023-06-10 18:18:21

Нет, не нужна, но надо помнить, что samesite=laх не защищает от поддельных GET запросов.
Хотя конечно в первую очередь GET запросы не должны использоваться для изменения состояния сервера
Хотя вот коллеги поправляют, что ещё зависит от браузера, поддерживает ли он этот стандарт.

Есть ли смысл в csrf токене при использовании samesite cookie?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт