Home

SameSiteflagget

SameSiteflagget, eller SameSite-attributtet for cookies, er et nettstandardattributt som bestemmer om en cookie sendes ved forespørsler som involverer andre domener (cross-site). Formålet er å redusere risikoen for CSRF-angrep ved å begrense hvilke forespørsler som inkluderer cookies fra nettstedet.

Verdiene i SameSite-attributtet er Strict, Lax og None. SameSite=Strict gjør at cookies kun sendes ved forespørsler

Implementering skjer i Set-Cookie-headeren, for eksempel: Set-Cookie: sessionid=abc123; Path=/; SameSite=Lax; Secure. For SameSite=None må Secure også

Anvendelse og konsekvenser: SameSite er et viktig verktøy for å redusere CSRF-sårbarheter, spesielt i apper med

Begrensninger: Ikke alle eldre nettlesere støtter alle verdier eller håndterer dem korrekt. Sammen med andre sikkerhetstiltak

som
kommer
fra
samme
domene.
De
sendes
ikke
ved
cross-site
forespørsler,
heller
ikke
ved
visse
navigasjoner
som
starter
fra
et
annet
nettsted.
SameSite=Lax
tillater
cookies
å
sendes
ved
top-level
navigasjoner
som
fører
til
GET-forespørsler
til
nettstedet,
og
ved
noen
sikre
kryss-site
forespørsler
(for
eksempel
navigasjoner),
men
ikke
ved
de
fleste
bakgrunnsforespørsler
som
lastes
i
bakgrunnen
(som
bilder
eller
iframes.
SameSite=None
tillater
at
cookies
sendes
i
alle
kontekster,
inkludert
cross-site
forespørsler,
men
forutsetter
at
cookies
også
er
merket
Secure,
slik
at
de
bare
sendes
over
HTTPS.
være
angitt.
Mange
moderne
nettlesere
tolker
dette
hyppig,
og
implementeringen
påvirker
hvordan
autentisering
og
tredjepartsintegrasjoner
fungerer.
tredjeparter,
OAuth-
eller
SSO-flows.
Likevel
gir
det
ikke
en
komplett
sikkerhetsgaranti;
det
bør
kombineres
med
andre
beskyttelsestiltak
som
CSRF-tokener
og
riktig
autentiseringshåndtering.
er
SameSite
en
del
av
defense-in-depth
for
sikker
nettappdesign.