是否设置cookies'；SameSite=无；安全'；提供CSRF-TOKEN足以防止嵌入式web应用程序中的CSRF？_Cookies_Csrf_Samesite

是否设置cookies'；SameSite=无；安全'；提供CSRF-TOKEN足以防止嵌入式web应用程序中的CSRF？

是否设置cookies'；SameSite=无；安全'；提供CSRF-TOKEN足以防止嵌入式web应用程序中的CSRF？,cookies,csrf,samesite,Cookies,Csrf,Samesite,我的web应用程序（myApp进一步）嵌入在单个第三方网页的iframe中。MyApp设置cookieSet cookie:JSESSIONID=38fe580ee7d8caca581532d37a19182；Path=/myapi；保护HttpOnly用于维护用户会话。不久前，由于更新将不带SameSite属性的cookie的默认行为从None更改为Lax，所以它停止在Chrome中工作我将用SameSite=None从myApp主机发送cookie；安全。此外，每个响应中都包含X-CSRF

我的web应用程序（myApp进一步）嵌入在单个第三方网页的iframe中。MyApp设置cookie

Set cookie:JSESSIONID=38fe580ee7d8caca581532d37a19182；Path=/myapi；保护HttpOnly

用于维护用户会话。不久前，由于更新将不带

SameSite

属性的cookie的默认行为从

None

更改为

Lax

，所以它停止在Chrome中工作

我将用

SameSite=None从myApp主机发送cookie；安全

。此外，每个响应中都包含

X-CSRF-TOKEN

头。myApp javascript获取

X-CSRF-TOKEN

，并将其放在发送给myApp主机的每个XHR请求的头中。这是否足以防止CSRF攻击

访问控制是否应允许在响应中添加来源：第三方网页

标题