¿Que es el atributo SamSite de una cookie?

Custom search

Búsqueda personalizada
Enviado por developsite el Sáb, 19/08/2023 - 14:20

El atributo SameSite de una cookie es utilizado para especificar si una cookie debe ser enviada o no en una solicitud cross-site, es decir, si una cookie debe ser enviada solo en el contexto del mismo sitio o en un contexto entre sitios[1][2][3][4][5][6].

El atributo SameSite puede tener tres valores:

  • None: indica que la cookie se puede enviar en solicitudes cross-site.
  • Lax: indica que la cookie solo se puede enviar en solicitudes cross-site que son GET y que navegan desde el sitio de origen.
  • Strict: indica que la cookie no se puede enviar en solicitudes cross-site[1][2][4][5][6].

El valor predeterminado para el atributo SameSite es Lax[4]. Si una cookie no tiene el atributo SameSite especificado, se considera que tiene el valor predeterminado Lax[2][5].

El uso del atributo SameSite es importante para mejorar la seguridad y privacidad de los usuarios en la web. Los navegadores modernos están siendo más restrictivos en cuanto a la aceptación de cookies y están haciendo cumplir más valores predeterminados para ayudar a preservar la privacidad[1].

Citations:
[1] https://web.dev/i18n/es/samesite-cookies-explained/
[2] https://emirodgar.com/cookies-samesite
[3] https://learn.microsoft.com/en-us/microsoftteams/platform/resources/samesite-cookie-update
[4] https://docs.netscaler.com/es-es/citrix-adc/current-release/aaa-tm/configure-samesite-for-aaa-deployments.html
[5] https://www.premiumleads.com/blog/desarrollo/samesite-cookies/
[6] https://increnta.com/insights/samesite-cookie/

¿Cómo afecta el atributo SameSite a la seguridad de las cookies?

El atributo SameSite afecta positivamente a la seguridad de las cookies al permitir que los desarrolladores especifiquen si una cookie debe ser enviada o no en una solicitud cross-site. Esto ayuda a prevenir ataques de tipo Cross-Site Request Forgery (CSRF), en los que un atacante intenta engañar a un usuario para que realice una acción no deseada en un sitio web en el que el usuario está autenticado[1][2][3].

Al establecer el valor del atributo SameSite en Lax o Strict, se limita la capacidad de una cookie para ser enviada en solicitudes cross-site, lo que reduce el riesgo de que un atacante pueda utilizar una cookie robada para realizar acciones maliciosas en nombre del usuario[1][2][4].

Además, la propuesta de IETF, Incrementally Better Cookies, establece que las cookies que no tienen un atributo SameSite se tratarán como SameSite=Lax y que las cookies con SameSite=None también deben especificar el atributo Secure, lo que significa que requieren de un contexto seguro[1]. Esto ayuda a garantizar que las cookies solo se envíen en conexiones seguras y que no se puedan interceptar o manipular fácilmente.

En resumen, el uso del atributo SameSite es importante para mejorar la seguridad y privacidad de los usuarios en la web, y los desarrolladores deben ser conscientes de su uso y configuración para garantizar la seguridad de sus aplicaciones web[1][2][3][4].

Citations:
[1] https://web.dev/i18n/es/samesite-cookies-explained/
[2] https://emirodgar.com/cookies-samesite
[3] https://increnta.com/insights/samesite-cookie/
[4] https://www.premiumleads.com/blog/desarrollo/samesite-cookies/
[5] https://docs.netscaler.com/es-es/citrix-adc/current-release/aaa-tm/configure-samesite-for-aaa-deployments.html
[6] https://developers-latam.googleblog.com/2019/12/desarrolladores-preparense-para-la.html?m=1

¿Cómo se puede mejorar la seguridad de un sitio web utilizando el atributo SameSite?

Para mejorar la seguridad de un sitio web utilizando el atributo SameSite, se pueden seguir los siguientes pasos: