気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
blog.tokumaru.orgエントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント23件
- 注目コメント
- 新着コメント
n314
ec-cubeとかは3dセキュアやリンク型決済に対応するためにsamesite=noneで逃げてたと思うんだけど、あれどうなったのかな?真面目にやろうとしてセッションと別に決済用のcookieを自分で作るの、かなり大変なんだよねえ…。
raimon49
Cookie生成後2分間はsamesite=laxとしない仕様があり、2022-01現在、ChromeとFirefoxでは微妙に挙動が異なるという詳説。何にせよ緩和策に過ぎないためWebサイト側は更新処理をPOSTメソッドで受け付けるよう留意が必要。
odakaho
“samesite=laxのクッキーはサイトに送信されず、ログイン状態にはならないためCSRF攻撃も成立しない” “Cookieが生成されてから2分経過してからsamesite=laxになる” “Google Chromeはsamesite=noneの時間が2分間延長”
yosuke_furukawa
"最新のGoogle ChromeおよびFirefoxにおいて、samesite属性を指定しないCookieはsamesite=laxの扱いを受けますが、Cookieが生成されてから2分経過してからsamesite=laxになる仕様になっています。" 知らなかった。。
tettekete37564
本当2分ルールが意味不明。ウチで発行したクッキーが外部決済サイトから戻ってきたページでだけブラウザがクッキーを送信しないがテストだと2分以内だから問題が起きないという。発行と受信が同じオリジンなら送れよ
n314
ec-cubeとかは3dセキュアやリンク型決済に対応するためにsamesite=noneで逃げてたと思うんだけど、あれどうなったのかな?真面目にやろうとしてセッションと別に決済用のcookieを自分で作るの、かなり大変なんだよねえ…。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか
サマリ2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月... サマリ2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日にFirefoxも同様の仕様が導入されました。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブサイト側でCSRF対策をしていなくてもCSRF攻撃を受けなくなります。この記事では、デフォルトsamesite=laxについての基礎的な説明に加え、最近のブラウザの挙動の違いについて説明します。 (2022年1月29日追記) 本日確認したところ、Firefoxにおけるデフォルトsamesite=laxはキャンセルされ、従来の挙動に戻ったようです(Firefox 96.0.3にて確認)。デフォルトsamesite=lax自体は先行してGoogle Chromeにて実装されていましたが、細かい挙動の差異で既存サイトに不具合が
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
blog.tokumaru.org
blog.tokumaru.org
blog.tokumaru.org
blog.tokumaru.org
note.com/fromdusktildawn
www.hibun.tsukuba.ac.jp
piyolog.hatenadiary.jp
nazology.net
note.com/akane_desu
eng-blog.iij.ad.jp
www.techno-edge.net
note.com/vips_kintone
devblogs.microsoft.com
www.itmedia.co.jp
pc.watch.impress.co.jp
www.powercms.jp
quavangphuctuong.com
www.jcp.or.jp
2022/01/26 リンク