浏览器所持有的Cookie分为两种:一种是"Session Cookie", 又称作“临时Cookie”;另一种是“Third-party Cookie”,也称为“本地Cookie”。
两者的区别在于,Third-party Cookie是服务器在Set-Cookie时指定了Expire时间,只有到了Expire时间后Cookie才会消失,所以这种Cookie会保存在本地;而Session Cookie则没有指定Expire时间,所以浏览器关闭后,Session Cookie就消失了。Session Cookie保存在浏览器进程的内存空间中,而Third-party Cookie则保存在本地。
如果浏览器从一个域的页面中,要加载另一个域的资源,由于安全原因,某些浏览器会阻止Third-party Cookie的发送。
下面这个例子,演示了这一过程。
在http://www.a.com/cookie.php中,会给浏览器写入两个Cookie:一个为Session Cookie,另一个为Third-party Cookie。
<?php
header("Set-Cookie: cookie1=123;");
header("Set-Cookie: cookie2=456;expires=Thu, 01-Jan-2030 00:00:01 GMT;", false);
?>
访问这个页面,发现浏览器同时接收了这两个Cookie。
这时再打开一个新的浏览器Tab页,访问同一个域中的不同页面。因为新Tab页在同一个浏览器进程中,因此Session Cookie将被发送。
此时在另一个域中,有一个页面http://www.b.com/csrf-test.html,此页面构造了CSRF以访问www.a.com。
<iframe src="http://www.a.com" ></iframe>
这时却会发现,只能发送出Session Cookie,而Third-party Cookie被禁止了。
这是因为IE出于安全考虑,默认禁止了浏览器在<img>、<iframe>、<script>、<link>等标签中发送第三方Cookie。
在Firefox中,默认策略是允许发送第三方Cookie的。
