Comprendre les interactions avec le cookie SameSite sur Cloudflare
Comprendre les interactions avec le cookie SameSite sur Cloudflare
Découvrez le cookie SameSite et la manière dont il vous protège contre la Cross-site Request Forgery (CSRF).
Présentation
Le cookie SameSite de Google Chrome modifie la manière dont Google Chrome gère le contrôle SameSite. Google utilise SameSite pour lutter contre les cookies de marketing qui traquent les utilisateurs et contre la CSRF qui permet aux pirates de subtiliser ou de manipuler vos cookies.
Le cookie SameSite comporte 3 modes différents :
- Strict : Les cookies « first party » sont créés par le premier acteur (le domaine visité). Par exemple, un cookie first party est créé par Cloudflare lorsque vous visitez Cloudflare.com.
- Lax : Les cookies sont uniquement envoyés à l’apex du domaine (par exemple *.foo.com). Par exemple, si quelqu’un (blog.naughty.com) a créé un lien hypertexte vers une image (img.foo.com/bar.png), le client n’envoie pas de cookie à img.foo.com puisqu’il ne s’agit ni d’un contexte first party ni apex.
- Aucun : Les cookies sont envoyés avec toutes les requêtes.
Les paramètres SameSite pour les cookies Cloudflare incluent :
| Le cookie Cloudflare | Les paramètres SameSIte | HTTPS Only |
|---|---|---|
| __cfduid | SameSite=Lax | Non |
| __cf_bm | SameSite=None; Secure | Oui |
| cf_clearance | SameSite=None; Secure | Oui |
| __cfruid | SameSite=None; Secure | Oui |
| __cflb | SameSite=Lax | Non |
Problèmes connus avec les cookies SameSite et cf_clearance
Lorsqu’un défi CAPTCHA Cloudflare ou JavaScript est résolu, par exemple dans le cadre d’une règle de pare-feu ou d’accès selon l’adresse IP, un cookie cf_clearance est placé dans le navigateur du client. Le cookie cf_clearance a une durée de vie par défaut de 30 minutes mais est configuré via Challenge Passage dans l’onglet Paramètres de l’application Cloudflare Firewall .
Cloudflare définit SameSite sur None pour le cookie cf_clearance de sorte que les requêtes de visiteurs provenant de noms d’hôtes différents ne débouchent pas sur des défis ou des erreurs ultérieurement. Lorsque SameSite est défini sur None, le flag Secure doit être également activé.
Utiliser le flag Secure nécessite l’envoi du cookie via une connexion HTTPS. Le paramétrage du cookie cf_clearance par défaut est SameSite=Lax si vous utilisez le protocole HTTP sur une partie quelconque de votre site web et cela peut entraîner des problèmes sur le site.
Si vous utilisez le protocole HTTP sur une partie quelconque de votre site, le cookie cf_clearance est réglé sur SameSite=Lax par défaut, ce qui peut entraîner des problèmes sur le site. Pour résoudre ce problème, faites passer le trafic de votre site web en HTTPS. Cloudflare vous propose deux outils pour vous aider :