Есть ли смысл в csrf токене при использовании samesite cookie?

Question

alestro @alestro

PHP

Есть ли смысл в csrf токене при использовании samesite cookie?

Собственно вопрос в названии, а именно нужна ли дополнительная защита от csrf при использовании samesite кук?

Вопрос задан более года назад
100 просмотров

1 комментарий

Подписаться 1 Простой 1 комментарий

Пригласить эксперта

Ответы на вопрос 1

3 комментария

alestro @alestro Автор вопроса

Ну так samesite кука просто не будет отправлена вместе с кросдоменным запросом. Насколько я понимаю в этом и есть смысл simesite.

Написано более года назад
Ипатьев @ipatiev Куратор тега PHP

Вы правы, у меня same site ассоциировался с отправкой кук на сторонние сайты.
Я отредактирую ответ

Написано более года назад
Сергей delphinpro @delphinpro Куратор тега PHP

надо помнить, что samesite=laх не защищает от поддельных GET запросов.

Он вообще ни отчего не защищает. Есть стандарты, которым следуют. А есть браузеры (в теории) которые положат на стандарты.
Доверять нельзя никому.

Написано более года назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

Простой
Почему PHP выполняет математические операции неправильно?
- 1 подписчик
- 4 часа назад
- 92 просмотра
4

ответа
PHP

Простой
Как скруглить углы изображения и обводки [Imagick]?
- 1 подписчик
- 14 февр.
- 73 просмотра
2

ответа
JavaScript

+1 ещё

Простой
Какой фреймворк подойдет для задачи редактирования онлайн таблчки?
- 3 подписчика
- 12 февр.
- 534 просмотра
1

ответ
PHP

+2 ещё

Средний
Как правильно настроить права для веб-сервере apache2+php-fpm?
- 1 подписчик
- 09 февр.
- 104 просмотра
1

ответ
PHP

+1 ещё

Средний
Как хранить и обрабатывать историю просмотров и поисков для релевантной выдачи?
- 1 подписчик
- 07 февр.
- 102 просмотра
0

ответов
PHP

+2 ещё

Средний
Как все таки использовать cron в связке Docker+php-fpm?
- 2 подписчика
- 06 февр.
- 195 просмотров
3

ответа
PHP

Простой
Подключение класса внутри класса: Правильно ли я делаю?
- 2 подписчика
- 06 февр.
- 248 просмотров
3

ответа
PHP

Простой
Запись только в конец файла?
- 1 подписчик
- 05 февр.
- 192 просмотра
1

ответ
PHP

Простой
Как сделать отображение эмодзи в PHP?
- 1 подписчик
- 04 февр.
- 152 просмотра
2

ответа
PHP

+4 ещё

Средний
Как выгрузить картинки товаров через api с сайта Битрикс?
- 2 подписчика
- 04 февр.
- 196 просмотров
1

ответ
Показать ещё Загружается…

Middle PHP-developer / PHP-разработчик

Wanted.

До 250 000 ₽

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

Senior PHP Программист

Автомакон

от 287 000 до 440 000 ₽

Написание нейросети на Python или C++ для анализа ЭКГ сигналов

16 февр. 2025, в 11:06

15000 руб./за проект

Поправить View Django для загрузки данных об игре

16 февр. 2025, в 11:05

1000 руб./за проект

Скопировать ТГ бота.

16 февр. 2025, в 09:26

15000 руб./за проект

Смысл есть, так как браузер пользователя может вести себя не так, как вы ожидаете, и игнорировать samesite.

Answer 1 · 2023-06-10 18:18:21

Нет, не нужна, но надо помнить, что samesite=laх не защищает от поддельных GET запросов.
Хотя конечно в первую очередь GET запросы не должны использоваться для изменения состояния сервера
Хотя вот коллеги поправляют, что ещё зависит от браузера, поддерживает ли он этот стандарт.

Есть ли смысл в csrf токене при использовании samesite cookie?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт