RIP CSRF?
Apple的Safari Web浏览器的最新版本提供了增强beplay体育能用吗隐私和通过完整的第三方cookie阻止进行安全措施。
Safari 13.1(在iOS和MACOS上可用)包括一项新功能,该功能默认情况下封锁了跨站点资源的cookie-以前引入了限制在Webkitbeplay体育能用吗浏览器引擎中。
MOVE BOLSTERS隐私由于禁用登录指纹识别,该技术意味着网站可以使用图像来确定用户是否已登录到特定服务。beplay体育能用吗
它还通过提供增强的保护来提高安全性跨站点伪造((CSRF),一类通用的Web安全缺陷。beplay体育能用吗
约翰·威兰德(John Wilander)是Sabeplay体育能用吗fari智能跟踪预防技术背后的Apple Webkit工程师博客文章完整的第三方Cookie阻止了“通过第三方请求禁用跨站点请求伪造攻击”。beplay体育能用吗
其他安全专家,例如Google的塔维斯·奥曼迪,认为这一发展虽然仍然受到欢迎,但只能阻止某些(而不是全部)类别的CSRF攻击。
威尔兰德(Wilander)对这些批评提出了异议。
顶级CSRF攻击不会受到新的WebKit功能的保护。beplay体育能用吗这是不使用子资源的地方,例如,在主导航中执行表单帖子,而不是在iframe中执行。
威兰德和奥曼迪在这一点上都达成了一致活泼的辩论关于Twitter上的主题。
beplay体育能用吗建议合法需要Cookie访问的Web开发人员,建议将第三方使用存储访问API作为替代方案。
脚本可用的存储时间限制
苹果最新的更新还意味着,在该网站上进行了7天的用户不活动之后,Webkit浏览器引擎内置的智能跟踪预防技术将清除网站的所有脚本可行的存储。beplay体育能用吗
无活动删除功能会影响包括索引的DB,LocalStorage和服务工作者注册的内容。
至少一些开发人员有表示关注时间限制将损害离线Web应用程序的上诉和实用性。beplay体育能用吗
此外,阻止第三方Cookies的举动导致所有跨站点的推荐人都降级到其起源。
威兰德解释说:“这与已经降级的跨站点转介请求标题相匹配。”
通过将推荐人降低到原点,这有效地删除了URL的路径,因此更适合隐私。
威尔兰德(Wilander)结束时鼓励开发人员测试其网站以兼容该版本。beplay体育能用吗
Apple旗舰浏览器的最新更新还修补了各种安全问题苹果浏览器和Webbeplay体育能用吗kit。
这修复在Webkit中包括五个单独的内存损坏问题的补丁程序,这些问题都可以导致代码执行以及对输入验证问题的修复,该问题会在未拨打的beplay体育能用吗浏览器中创建跨站点脚本脚本脚本。
