SameSite & CSRF Defense

김성진·2022년 12월 4일
webhacking
0
post-thumbnail

https://velog.io/@mm0ck3r/SameSite-cookie%EC%97%90-%EA%B4%80%ED%95%98%EC%97%AC
내가 작성한 글에 대해 더 적는 내용이다.

📒 SameOrigin v.s SameSite

SameOrigin은 Scheme, Host, Port 모두 같아야 한다.
SameSite는 Public Suffix 한단계 아래만 확인하여 그것만 동일하다면 모두 SameSite이다.

Public Suffix는 Public Suffix의 1단계 하위 도메인을 유저들이 만들 수 있어야 한다.

예를 들어 aaa.test.com 이라는 도메인이 있다고 생각을 해보자. Public Suffix는 .com이 되는데 그 1단계 하위 도메인은 유저들이 만들 수 있다. 실제로 test.com이 만들어 질 수 있듯이 말이다.

Public Suffix는 https://publicsufix.org 라는 곳에서 관리를 하고 있다.
실제로 확인을 해보면 github.io도 PublicSuffix로 등록되어 있다. 그 이유는 username.github.io 라는 페이지를 만들 수 있기 때문이다.

profile
김성진
Today I Learned
이전 포스트

Same Origin Policy

다음 포스트

[PortSwigger] - Lab : Conditional responses blind SQL injection

0개의 댓글