Ch02 Stateful Tracking/Day5 Cookie-Third-party Cookie 如何做到Cross-site tracking
- 浏览器自动在HTTP request夹带cookie的性质
- Third-party Cookie 如何做到Cross-site tracking在blog.example和news.example的网页管理员都与追踪者tracker.example合作的前提下,并把tracker放在网页之中:因tracker的资源包含在blor.example内,浏览器需发请求给tracker.example,tracker生成新的identifier,夹带在response header之中 Set-Cookie: tracker_id=<identifier>。浏览器将资料储存到reacker.example,使用者下次造访时tracker.example会收到请求,并夹带*tracker_id=<identifier>,tracker便能真知道使用者再次造访网页。使用者存取news.example,其内包含tracker.example的资源,因此要向tracker.example发出请求,夹带*tracker_id=<identifier>,tracker.example便知道拥有这个identifier的使用者除了造访blog.example以外,也造访news.example,达成cross-tracking
- Cookie特性带来的问题:1.在有些不需要cookie的请求中,也会插入那些用不到的cookie2.CSRF(cross site require forgery)的防御:诱导管理员访问网页,窃取管理员登入资讯的cookie
- SameSite属性1.可以指定cookie只有在甚么情境下可以被夹带2.三个属性值 SameSite-Strict:只有在first-party的情境下能传送cookieSameSite=Lax:最大宗。从其他origin转移进来,会夹带cookieSameSite=None:传统方式,直接不设定
资料来源、选用书籍:<Web Tracking的资安攻击与防御策略>铁人赛专用书