Webの新しい Cookie技術 http SameSite と Secure 対策その２

概要

前回のSameSiteについての話の続きになります。

どのように処理すれば正しくCookieはsecureに処理できるようになるのか具体例とともに記載していきたいと思います。

SameSiteの種類

SameSiteは３つに分類されます。

None

従来どおりの動作
今までのクッキーになるので、今後セキュリティをあげないといけないのであまりおすすめできません。

Lax

CrossSite のリクエストでは、 Top Level Navigation 以外は Cookie を送りません。
別サイトからの遷移でもログイン状態が維持できるため、既存の Session 管理にも導入しやすいです。
POST では Cookie が送られないため、CSRF 攻撃への耐性が高まります。

Strict

自分のサイト以外からの全てのリクエストを Cookie を送らなります。
強い制限である。

Session Cookie にこの属性を付与すると、例えば別のサイトからリンクで遷移した場合にも Cookie が送られなくなる。
別のサイトから遷移する場合は、毎回ログインが必要となるため、ユーザの利便性も考えると難しいです。

具体的にいうと開発者がフォームを作成する時CSRFトークンでのセキュリティ対策をすると419エラーが発生しますのでCSRFトークンを無効にする必要が出てきます。

Laravel 6 の場合でのクッキーのセット

configディレクトリにあるsession.phpというファイルの一番最後の項目「'same_site' => 'strict'」に上記で説明した３種類を記載すればいいです。

一旦strictを入れておりますがlaxでもnoneでも問題ありません。

    /*
    |--------------------------------------------------------------------------
    | Same-Site Cookies
    |--------------------------------------------------------------------------
    |
    | This option determines how your cookies behave when cross-site requests
    | take place, and can be used to mitigate CSRF attacks. By default, we
    | do not enable this as other CSRF protection services are in place.
    |
    | Supported: "lax", "strict"
    |
    */

    'same_site' => 'strict',  // ←　ここを変更する。