Інженери Mozilla мають намір додати у Firefox нову функцію безпеки для захисту від міжсайтових підробок запиту (CSRF). Так, у версії браузера Firefox 60, випуск якого заплановано на 9 травня цього року, буде реалізована підтримка атрибуту cookie SameSite, пише internet.ua.
Атрибут SameSite блокує завантаження сайтом файлів cookie, завантажених з інших доменів, які не співпадають з URL в адресному рядку Firefox. Якщо на сайті активовані cookie-файли SameSite, браузер не буде завантажувати cookie-файли з facebook.com, якщо користувач в даний час перебуває на domain.com. Іншими словами, підтримка SameSite дозволить захистити користувачів Firefox від CSRF-атак.
Варто зазначити, що реалізація функції SameSite лягає не на плечі користувачів або інженерів Mozilla. Атрибут SameSite повинні налаштовувати самі власники сайтів в заголовках відповідей HTTP так само, як вони налаштовують в заголовках відповідей стандартне поле Set-Cookie.
Операторам сайтів будуть доступні два налаштування- Strict і Lax. Якщо власник сайту використовує налаштування Strict, Firefox не буде прикріплювати файли cookie інших запитів HTTP, якщо їх джерелом не є домен, чия URL-адреса в даний момент вказана в адресному рядку.
Якщо власник сайту вибере налаштування Lax, Firefox буде завантажувати файли cookie з інших доменів, якщо користувач зайшов на сайт безпечним способом, тобто, клікнувши на посилання.
Наприклад, якщо користувач знаходиться на сайті Facebook і клікає на посилання, яке веде на domain.com, domain.com буде завантажувати файли cookie як з domain.com, так і з Facebook, але не буде завантажувати файли cookie з інших сайтів.
Chrome підтримує SameSite, починаючи з версії 63, випущеної в грудні 2017 року. В Opera підтримка SameSite з’явилася з версії 51, у Chrome для Android – у версії 64, а в Samsung Internet – у версії 6.2.
