位于/admin/ ValueError / samesite的登录必须是“宽松”或“严格”的

位于/admin/ ValueError / samesite的登录必须是“宽松”或“严格”的。

这个问题涉及到登录时的SameSite属性设置。SameSite属性是用于控制跨站点请求伪造（CSRF）攻击的一种安全机制。它可以设置为"Strict"（严格）或"Lax"（宽松）。

"Strict"模式要求浏览器仅在目标网站的域名完全匹配时才发送Cookie，这样可以防止跨站点的Cookie传递。
"Lax"模式允许在某些情况下发送Cookie，例如从外部网站链接到目标网站时，但在POST请求等情况下不发送。

对于位于/admin/ ValueError / samesite的登录，要求登录时的SameSite属性必须是"Strict"或"Lax"。这意味着在登录时，浏览器只会发送来自/admin/路径的Cookie，而不会在其他情况下发送。

推荐的腾讯云相关产品是腾讯云Web应用防火墙（WAF）。腾讯云WAF可以提供全面的Web应用安全防护，包括防止CSRF攻击、SQL注入、XSS攻击等。您可以通过以下链接了解更多关于腾讯云WAF的信息：腾讯云WAF产品介绍

需要注意的是，以上答案仅供参考，具体的解决方案可能因实际情况而异。在实际应用中，建议根据具体需求和环境选择合适的安全措施和产品。

相关·内容

关于防CSRF你需要了解的另一种方法

SameSite 的应用 SameStie 有两个值：Strict 和 Lax: SameSite=Strict 严格模式，使用 SameSite=Strict 去标记的 cookie在任何情况下（包括异步请求和同步请求...SameSite=Lax 宽松模式，使用 SameSite=Lax 去标记的 cookie在异步请求和 form 提交跳转的情况下都不能作为第三方 cookie。...通过抓包结果我们可以看到 bbb2 被设置了 SameSite=Lax 后，在同步请求的方式下，是可以把 cookie bbb2 带到 b.com 的，而 bbb1 依然没有被带上。...后台根据用户的登录态动态新建一个可以用于校验登录态的 cookie，设置为 Lax ，这样的话对外推广比如微博什么的，你希望用户在微博上打开你的链接还能保持登录态。...如果你的页面有可能被第三方网站去 iframe 或有接口需要做 jsonp ，那么都不能设置 Strict 或 Lax。

5612 0

谈谈Json格式下的CSRF攻击

一、CSRF漏洞简介 csrf漏洞的成因就是网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，那以后只要是访问这个网站，都会默认你已经登录的状态。...这个Token的值必须是随机的，不可预测的。由于Token的存在，攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。...SameStie 有两个值：Strict 和 Lax: SameSite=Strict 严格模式，使用 SameSite=Strict 标记的 cookie 在任何情况下（包括异步请求和同步请求），都不能作为第三方...SameSite=Lax 宽松模式，使用 SameSite=Lax 标记的 cookie 在异步请求和 form 提交跳转的情况下，都不能作为第三方 cookie。...后台根据用户的登录态动态新建一个可以用于校验登录态的 cookie ，设置为 Lax ，这样的话对外推广比如微博什么的，你希望用户在微博上打开你的链接还能保持登录态。

3.2K3 0

保护你的网站免受黑客攻击：深入解析XSS和CSRF漏洞

request forgery，跨站请求伪造）攻击是一种利用用户已登录的身份，在用户不知情的情况下，利用用户的权限发起恶意请求的攻击方式。...只有当你从目标网站直接请求资源时，才会发送相应的Cookie。Lax相对宽松一些。...但如果是从第三方网站中使用POST方法，或者通过像img、iframe这样的标签加载URL时，则不会携带Cookie。None最宽松的设置。...如果Cookie的SameSite属性设置为None，那么无论在何种情况下都会发送Cookie数据，即使是跨站请求也会携带Cookie。...但需要注意的是，如果设置为None，必须同时设置Secure属性，即Cookie只能通过HTTPS协议发送，否则设置将无效。

3782 0

【基本功】前端安全系列之二：如何防止CSRF攻击？

POST类型的攻击通常比GET要求更加严格一点，但仍并不复杂。任何个人网站、博客，被黑客上传页面的网站都有可能是发起攻击的来源，后端接口不能将安全寄托在仅允许POST上面。...只能作为第一方Cookie，不能作为第三方Cookie，Samesite 有两个属性值，分别是 Strict 和 Lax，下面分别讲解： Samesite=Strict 这种称为严格模式，表明这个 Cookie...Samesite=Lax 这种称为宽松模式，比 Strict 放宽了点限制：假如这个请求是这种请求（改变了当前页面或者打开了新页面）且同时是个GET请求，则这个Cookie可以作为第三方Cookie。...但是跳转子域名或者是新标签重新打开刚登陆的网站，之前的Cookie都不会存在。尤其是有登录的网站，那么我们新打开一个标签进入，或者跳转到子域名的网站，都需要重新登录。对于用户来讲，可能体验不会很好。...YouTube允许用户只让朋友或亲属观看某些视频。

1.7K2 0

Cook Cookie, 我把 SameSite 给你炖烂了

网站；当用户再次打开crm服务或其他同站网站时，也会先调用鉴权服务，由于cookie还有效，所以用户就不用再去登录了，可以继续在网站浏览。...这个情况复杂就复杂在淘宝和天猫是跨站的，当淘宝登录了时，你再去访问天猫，会有一系列的鉴权操作： ?...同源 VS 同站或跨域 VS 跨站同源，基本上懂行的前端都知道，只有请求的地址与站点是同协议、同域名、同端口，才能称为同源，除此以外，都是跨域；而同站就没这么严格，简单看看同站定义：只要两个...2.服务端 set-cookie 也需要遵循同站规则，否则不生效；eg: 当前网站域名local.closertb.site, 登录发送请求/user/login，但该请求向admin.closertb.site...4.ajax 和 fetch 请求，响应302, 是不能直接改变浏览器地址进行跳转的，除非前端手动去操作；这就是为什么我们会说ajax 和 fetch 是前后端分离的开始，因为以前很多jsp 或 php

2K1 0

【Web技术】582- 聊聊 Cookie “火热”的 SameSite 属性

同源策略作为浏览器的安全基石，其「同源」判断是比较严格的，相对而言，Cookie中的「同站」判断就比较宽松：只要两个 URL 的 eTLD+1 相同即可，不需要考虑协议和端口。...举几个例子：天猫和飞猪的页面靠请求淘宝域名下的接口获取登录信息，由于 Cookie 丢失，用户无法登录，页面还会误判断成是由于用户开启了浏览器的“禁止第三方 Cookie”功能导致而给与错误的提示淘宝部分页面内嵌支付宝确认付款和确认收货页面...不过也会有两点要注意的地方： HTTP 接口不支持 SameSite=none 如果你想加 SameSite=none 属性，那么该 Cookie 就必须同时加上 Secure 属性，表示只有在 HTTPS...所以服务端必须在下发 Set-Cookie 响应头时进行 User-Agent 检测，对这些浏览器不下发 SameSite=none 属性 Cookie 的作用 ---- Cookie 主要用于以下三个方面...：会话状态管理（如用户登录状态、购物车、游戏分数或其它需要记录的信息）个性化设置（如用户自定义设置、主题等）浏览器行为跟踪（如跟踪分析用户行为等） Cookie 的缺点 ---- 如果被问到话

1.7K2 0

前端网络安全常见面试题速查

早期常见于论坛，起因是网站没有对用户的输入进行严格的限制，使得攻击者可以将脚本上传到帖子让其他人浏览到有恶意脚本的页面，其注入方式很简单，包括但不限于 JavaScript/VBScript/CSS/Flash...（Cross-Site Request Forgeries，CSRF）：指攻击者通过设置好的陷阱，强制对已经完成认证的用户进行非预期的个人信息或设定信息等某些状态更新，属于被动攻击恶意第三方库：无论是后端服务器应用还是前端应用开发...POST 类型的攻击通常比 GET 要求更加严格一点，但仍并不复杂。任何个人网站、博客，被黑客上传页面的网站都有可能是发起攻击的来源，后端接口不能将安全寄托在仅允许 POST 上。...Set-Cookie 响应头新增 Samesite 属性，用来标明这个 Cookie 是 “同站 Cookie”，同站 Cookie 只能作为第一方 Cookie，不能作为第三方 Cookie，Samesite...有两个属性值： Samesite=Strict 严格模式，表明这个 Cookie 在任何情况下都不可能作为第三方 Cookie Samesite=Lax 宽松模式，比 Strict 宽松 CSRF

6353 2

web常见安全问题

众所周知，http协议是无状态的，在那个古老的年代，很多网站都将用户登录成功时候返回的登录状态（如token）存进cookie里，然后客户端发起请求时，啥都不用干，照常发请求，因为发请求时，浏览器会自动带上...SameSite选项通常由Strict、Lax和None三个值 Strict最为严格，如果cookie设置了Strict，那么浏览器会完全禁止第三方Cookie。...= '999' 上面的sql就是要找user里面，用户名是admin，密码是999的所有数据。...' and password = '1 'or '1'='1' 上面的sql是查找user里面，用户名是admin，密码是1，或者1=1的所有数据，不管有没有找到用户名是admin，密码是1的数据，但是后面的...1=1是一定成立的，而且前面的条件和后面的条件中间用的是or，所以，只要满足：（用户名是admin，密码是1）或者（1=1）的其中一个或者都满足，就会查询user里面的数据，这里是一定可以查询到数据的！

1.6K4 0

【安全】 Cookie

但是在实际中，必须要确定用户的信息，所以 cookie 就成了前后端确定用户登录的指标 Cookie 也可以用于记录一些用户操作的信息。.../a/b 下设置 cookie，那么 path 默认就是 /a/b 如果你想整站通用，就设置为 /，表示根目录，该域名下整站通用 5Expires 表示Cookie 的过期时间，值是一个绝对时间，而且必须是...简单说就是，禁止跨站请求发送cookie SameSite ，顾名思义就是相同域名，就是，页面发送请求，只有这个请求和页面是同域，那么这个请求才会带上本域名的 cookie，否则不会举栗子你已经登录了...设置为Strict，就是严格模式，完全禁止跨站发送cookie SameSite 设置为 Lax，就是宽松模式，如果是 get 请求，可以跨站发送cookie，如果是 post 请求，则不允许跨站发送...http 无状态的一个关键点，利用它实现用户的登录状态，保存用户的信息实际操作是如下用户登录之后，服务端返回响应，带上头部 Set-Cookie:id=xxxx 浏览器接收响应，拿到 cookie

1.3K1 0

阶段七：浏览器安全

，因此为了解决同源策略导致的页面资源必须来自同一个源这个限制：浏览器引入了CSP内容安全策略(Content Security policy),核心思想是让服务器决定浏览器能够加载哪些资源，让服务器决定浏览器是否能执行内敛...–Web页面安全在同源策略的严格限制下，如果不能引入第三方资源，显然是不方便的，为此在安全和自由之间找的平衡，允许引入第三方资源，而随之而来的就是带来的页面安全问题，这些问题产生的过程，并进一步加深说明引入...充分利用好Cookie的SameSite属性 Cookie是浏览器和服务器直接维护登录状态的一个关键数据。...Strict最为严格，严格禁止第三方网站发起请求的时候携带Cookie。...HTTP协议栈中引入安全层从HTTP协议来看，可以在HTTP与TCP层之间加入一个安全层，所有经过安全层的数据都会被加密或解密。

4653 0

腾讯三面：Cookie的SameSite了解吧，那SameParty呢？

什么是三方cookie 三方指的是非同站，这个同站和同源协议中的源origin不同，它的要求更宽松。...和domain很像，也只能设置为当前路径的父级路径或其本身,设置值的所有子路径都可以访问。...strict代表完全禁止三方cookie，这是最严格防护，可以避免被CSRF攻击，但缺点也很明显，像天猫、淘宝这种同属一个主体运营的网站不得不重复登录； none代表完全不做限制，即之前「不认来源，只看目的...>不发送而在这之前是会全部发送的。 SameSite修改带来的影响像a链接这种，没有受到影响，依旧会带上三方cookie，这样可以保证从百度搜索中打开淘宝，是有登录状态的。...而不在集合中的baidu.com发起的AJAX请求则不会带上。需要注意的是，使用same-party属性时，必须要同时使用https(secure属性)，并且same-site不能是strict。

1K1 0

软件安全性测试（连载20）

l 登录失败，用户名错误（无效）。 l 登录失败，密码错误（无效）。而应该采取以下的提示。 l 登录失败，用户名或错误（无效）。...用户在设置安全问题答案需要注意保护自己的隐私。比如设置“我的手机号码是？”“你的微信登录密码是”这样类型的问题是比较傻的。...l 对于sessionID的生成和验证，有宽松和严格两种方式，默认的为严格方式。但是如果程序采用宽松方式，需要做到不接受非本WEB应用程序产生的sessionID。...②session手动过期 session手动过期是通过手动的方式处理session，一般包括注销登录和关闭浏览器或客户端的情况下清空session。...4）cookie介绍有些网站是通过cookie管理会话机制的。采用这种方式需要注意。 l 如果采用HTTPS协议传输，必须加上Secure属性。

6281 0

两个你必须要重视的 Chrome 80 策略更新！！！

SameSite 可以避免跨站请求发送 Cookie，有以下三个属性： Strict Strict 是最严格的防护，将阻止浏览器在所有跨站点浏览上下文中将 Cookie 发送到目标站点，即使在遵循常规链接时也是如此...例如，对于一个普通的站点，这意味着如果一个已经登录的用户跟踪一个发布在公司讨论论坛或电子邮件上的网站链接，这个站点将不会收到 Cookie ，用户访问该站点还需要重新登陆。...例如，一个用户在 A站点点击了一个 B站点（GET请求），而假如 B站点使用了Samesite-cookies=Lax，那么用户可以正常登录 B 站点。...但是，在 Chrome 80+ 版本中，SameSite 的默认属性是 SameSite=Lax。...具有 SameSite=None 的 Cookie 也必须标记为安全并通过 HTTPS 传送。如果你的 Cookie 未能正确配置。

4K4 0

实用，完整的HTTP cookie指南

cookie 的作用域是Path 。具有给定路径属性的cookie不能被发送到另一个不相关的路径，即使这两个路径位于同一域中。这是cookie权限的第一层。...get-cookie/ 中所携带的 Cookie Set-Cookie: simplecookiename=c00l-c00k13; Path=/ first-party是指你登录或使用的网站所发行的...Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格，可能造成非常不好的用户体验。...设置了Strict或Lax以后，基本就杜绝了 CSRF 攻击。当然，前提是用户浏览器支持 SameSite 属性。 Chrome 计划将Lax变为默认设置。...这时，网站可以选择显式关闭SameSite属性，将其设为None。不过，前提是必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。下面的设置无效。

5.8K4 0

跨站请求伪造—CSRF

CSRF 攻击示例这里有一个网站，用户可以看文章，登录之后可以发评论。 ? 如果用户是登录状态，打开了这样的页面， <!...HTTP Cookie（也叫 Web Cookie或浏览器 Cookie）是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。...Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格，可能造成非常不好的用户体验。...这时，网站可以选择显式关闭 SameSite 属性，将其设为 None 。不过，前提是必须同时设置 Secure 属性（Cookie 只能通过 HTTPS 协议发送），否则无效。...SameSite=None; Secure 要使用 SameSite 属性，前提是用户浏览器支持 SameSite 属性，可以使用 caniuse 查看浏览器对于 SameSite 属性的支持。

1.3K2 0

微服务设计原则——低风险

一个典型的 CSRF 攻击有着如下的流程：受害者登录 a.com，并保留了登录凭证（Cookie）。攻击者引诱受害者访问了 b.com。...而如果是 CSRF 攻击传来的请求，Referer 字段会包含恶意网址的地址，不会位于 www.examplebank.com 之下，这时候服务器就能识别出恶意的访问。...同站 Cookie 只能作为第一方 Cookie，不能作为第三方 Cookie，Samesite 有三个属性值，分别是： Strict Lax（缺省值） None Samesite=Strict 这种称为严格模式..."> 发送 Cookie 不发送设置了 Strict 或 Lax 以后，基本就杜绝了 CSRF 攻击。当然，前提是用户浏览器支持 SameSite 属性。...Samesite=None 网站可以显式关闭 SameSite 属性，将其设为 None。不过，前提是必须同时设置 Secure 属性（Cookie 只能通过 HTTPS 协议发送），否则无效。

1741 0

Web 安全总结(面试必备良药)

预防策略：将cookie等敏感信息设置为httponly，禁止Javascript通过document.cookie获得对所有的输入做严格的校验尤其是在服务器端，过滤掉任何不合法的输入，比如手机号必须是数字...，在黑客的网站中，利用用户的登录状态发起的跨站请求。...发起 CSRF 攻击的三个必要条件：目标站点一定要有 CSRF 漏洞；用户要登录过目标站点，并且在浏览器上保持有该站点的登录状态；需要用户打开一个第三方站点，如黑客的站点等。...预防策略：充分利用好 Cookie 的 SameSite 属性。 SameSite 选项通常有 Strict、Lax 和 None 三个值。...SameSite 的值是 Strict，那么浏览器会完全禁止第三方 Cookie。 Lax 相对宽松一点。

9572 0

前端安全防护：XSS、CSRF攻防策略与实战

CSRF（Cross-Site Request Forgery）CSRF攻击利用用户的已登录状态，在用户不知情的情况下，诱使其浏览器发起对目标站点的恶意请求。...针对XSS的防御a. 输入验证与净化对用户提交的所有数据进行严格的输入验证，拒绝或过滤掉含有潜在危险字符（如, &, ', ", /等）的输入。...服务器在渲染表单或接口响应时发送Token，客户端在提交请求时必须携带此Token。服务器端验证Token的有效性以防止伪造请求。...使用SameSite Cookie属性设置SameSite属性为Lax或Strict，防止浏览器在跨站请求中携带相关Cookie，从而降低CSRF攻击的可能性。...启用HTTPS强制使用HTTPS可以防止中间人攻击，确保CSRF Token和其他敏感信息在传输过程中不被篡改或窃取。结语前端安全防护是每一位开发者不容忽视的责任。

4491 0

HTTP cookie 完整指南

4.2K2 0

重磅！Spring Boot 2.6 正式发布，一大波新特性，看完我彻底躺平了。。

属性现在可以使用 server.session.cookie.same-site 属性在 servlet 应用程序的会话 cookie 上配置 SameSite 属性，这个适用于自动配置的 Tomcat...server.session.cookie.same-site 支持的三个配置： SameSite 参考值说明： None（关闭模式，必须同时设置 Secure） Lax（宽松模式，允许部分第三方 Cookie...，如：Get 表单请求、链接跳转等） Strict（严格模式，完全禁止第三方 Cookie，URL 一致时才发送 Cookie） SameSite 扫盲： SameSite 是浏览器针对 Cookie...3）AbstractApplicationContextRunner 类中的三个方法已被弃用，取而代之的是新的基于 RunnerConfiguration 的类。...4）SpringApplicationRunListener 中的 started 和 running 方法已被弃用，取而代之的是接受 Duration 参数的新方法：参数是有了，方法里面怎么没用到

2.7K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云