Bugün sizlere kısaca SameSite’dan bahsedeceğim. SameSite bir çerezin üçüncü party isteklerle birlikte gönderilip gönderilmeyeceğini belirleyen bir güvenlik talimatıdır.
2016 yılında google chrome’un 80. sürümüyle birlikte internet dünyasında standart haline geldi.
Öncelikle bir senaryo üzerinden anlatacağım:
1-) Kullanıcımız enableroot.com üzerinden oturum açmış olsun
2-) Kullanıcı bu sitenin klonu olan başka bir zararlı siteye girer.
3-) Zararlı site arka planda enableroot.com/admin adresine istek atar.
-> Önceden olsaydı böyle bir senaryoda tarayıcı işte enableroot çerezleri bende var ve bunu post isteğine ekleyip oturum üzerinde işlemler gerçekleştirebilirdi.
-> SameSite burada devreye giriyo burada samesite temel mantıkta bakıyor başka siteden geliyor bunu engelliyor.
STRICK, LAX ve NONE
Strick = Sadece benim sitemse gönder
-> Yani eğer kullanıcı işte linke tıklayıp sitene gelirse çerezleri vermez oturum kapalı gibi işlem gerçekleştirir. (Daha çok admin panallerinde, banka transfer sayfalarında kullanılır.)
Lax = Güvenli geçişlere izin ver
-> GET isteği geliyorsa çerezi göndeririz. Ancak dış sitedeki bir POST üzerinden geliyorsa gönderilmez.
-> Burada küçük dipnot geçeceğim neden GET güvenli POST güvensiz anlamında burada aslında temel mantıkta şunu destekler http standartları GET sadece bilgi getirir komut değeri taşımaz ama POST bir komut değeri taşır ondan dolayı tehlikeli kabul edilir.
None = Her yerden gönderilsin
-> Çerez her türlü gönderilir. ( None kullancağımız zaman secure bayrağını eklemek zorundayız yoksa tarayıcı bunu reddeder.)
res.cookie('session_id', 'abc123', {
sameSite: 'lax',
secure: true,
httpOnly: true
});Tarayıcılar genelde lox kullanır. Maximum güvenlik için Httponly, Secure ve SameSite beraber kullanılır
First-Party vs Third-Party Cookie Kimin Çerezi Bu?
First-Party = Doğrudan ziyaret ettiğin we sitesi tarafından bu sitenin seni hatrılaması için bıraktığı çerezdir.
Third-Party = Ziyaret ettiğin sitede bulunan başka bir hizmetin bıraktığı çerezdir. Buradaki çerez başka siteler tarafından takip edilebilir. (Google Ads)
