Samesite和Samesite策略是否有效地执行了相同的工作？

Question

对不起，如果我错了，但是，我正在寻找一个答案，因为我的理解，这难道不是有关CSRF的关切解决了两个Samesite饼干和相同-原产地-政策有效？那么为什么需要两种不同的东西呢？

我记得的基本区别是：

Same-Origin-Policy (SOP)：浏览器设置的一种策略，以保护用户不让它读取另一个站点的内容，除非原点相同或CORS得到有效实现。

Samesite Cookie：另一方面，服务器将cookie标记为严格或根据其要求而进行的工作。

就这个吗？有两个不同的方法来防止CSRF攻击的背后真的有很好的理由吗？

Answer 1

相同的-原产地策略并不能防止CSRF攻击。它不阻止发送请求，也不阻止将站点特定的凭据(即会话cookie)附加到请求中。它只会防止跨源阅读，而不是跨源书写。因此，可以发送经过完全身份验证的请求(即隐式附加会话cookie )，允许攻击者在服务器端执行授权操作，即使攻击者无法直接获得操作结果(即读取响应)。

当cookie将隐式附加到请求时，相同站点cookie通过附加限制来缓解此问题。如果没有相同的站点属性，它将附加到所有请求，其中包括跨站点请求。使用相同的站点属性，它将不再附加到跨站点请求。因此，仍然可以编写跨站点，但不能使用基于cookie的身份验证信息隐式附加。