Firefox浏览器添加新的CSRF保护措施

Mozilla的本周宣布，即将推出的Firefox 60将会以防止跨站请求伪造（CSRF）攻击用户的努力引入对同一站点的cookie属性的支持。

CSRF攻击允许恶意行为是让用户访问特制的网页来执行代表身份验证的用户在网站上未经授权的活动。这些类型的攻击利用的事实，到网站的每个请求包括饼干和许多网站依靠这些cookie进行身份验证。

Mozilla已经指出，当前的网络架构不允许网站可靠地确定是否已请求合法发起用户，或者如果它来自第三方的脚本。

“为了弥补，同一站点的cookie属性允许Web应用程序提醒，如果要求从网站上的cookie从来到起源饼干应只发送的浏览器” Mozilla的安全小组成员解释在博客中。“请求从比出现在URL栏将不包括任何带有该标志的新属性的cookie的一个不同的URL触发。”

火狐60，目前预定于发行5月9日，将试图保护用户免受与同一站点CSRF攻击属性，可以有两个值：严格或宽松。

在严格模式下，当用户单击从外部站点的入站链接，他们将被作为未经身份验证的治疗，即使他们有一个活跃的会话Cookie会发送。

在宽松的模式，当用户从外部网站（例如，通过下面的链接）安全航行的cookie将被发送，但他们不会跨域子请求被发送，如图像或帧作出的。松懈的模式是专为可能与严格的模式不兼容的应用程序。