Инженеры Mozilla намерены добавить в Firefox новую функцию безопасности для защиты от межсайтовых подделок запроса (CSRF). Так, в версии браузера Firefox 60, запланированной к выпуску на 9 мая текущего года, будет реализована поддержка атрибута cookie SameSite.
Атрибут SameSite блокирует загрузку сайтом файлов cookie, загруженных с других доменов, которые не совпадают с URL в адресной строке Firefox. Если на сайте активированы cookie-файлы SameSite, браузер не будет загружать cookie-файлы с facebook.com, если пользователь в настоящее время находится на domain.com. Другими словами, поддержка SameSite позволит защитить пользователей Firefox от CSRF-атак.
Стоит отметить, реализация функции SameSite ложится не на плечи пользователей или инженеров Mozilla. Атрибут SameSite должны настраивать сами владельцы сайтов в заголовках ответов HTTP точно так же, также как они настраивают в заголовках ответов стандартное поле Set-Cookie.
Операторам сайтов будут доступны две настройки – Strict и Lax. Если владелец сайта использует настройку Strict, Firefox не будет прикреплять файлы cookie других запросов HTTP, если их источником не является домен, чей URL-адрес в текущий момент указан в адресной строке.
Если владелец сайта выберет настройку Lax, Firefox будет загружать файлы cookie с других доменов, если пользователь зашел на сайт безопасным способом, то есть, кликнув на ссылку. К примеру, если пользователь находится на сайте Facebook и кликает на ссылку, ведущую на domain.com, domain.com будет загружать файлы cookie как с domain.com, так и с Facebook, но не будет загружать файлы cookie с других сайтов.
Chrome поддерживает SameSite, начиная с версии 63, выпущенной в декабре 2017 года. В Opera поддержка SameSite появилась в версии 51, в Chrome для Android – в версии 64, а в Samsung Internet – в версии 6.2.