Como funciona a interação de cookies do SameSite com a Cloudflare
Como funciona a interação de cookies do SameSite com a Cloudflare
Conheça o cookie SameSite e veja como ele protege contra a falsificação de solicitações entre sites (CSRF).
Visão geral
O cookie SameSite do Google Chrome altera a maneira como o Google Chrome lida com o controle SameSite. O Google impõe o SameSite para se proteger de cookies de marketing que rastreiam usuários e da falsificação de solicitações entre sites (CSRF) que permite que invasores roubem ou manipulem seus cookies.
O cookie SameSite possui 3 modos diferentes:
- Strict: os cookies são criados por um elemento primário (o domínio visitado). Por exemplo, um cookie primário é criado pelo Cloudflare ao acessar o site Cloudflare.com.
- Lax: os cookies são enviados apenas para o nível superior do domínio (por exemplo, *.foo.com). Por exemplo, se alguém (blog.naughty.com) vinculou uma imagem (img.foo.com/bar.png), o cliente não envia um cookie para img.foo.com porque não ele não é o elemento primário nem o elemento principal.
- None: os cookies são enviados com todas as solicitações.
Configurações do SameSite para cookies Cloudflare:
Política de cookies da Cloudflare | Configuração SameSite | Somente HTTP |
---|---|---|
__cfduid | SameSite=Lax | Não |
__cf_bm | SameSite=None; Secure | Sim |
cf_clearance | SameSite=None; Secure | Sim |
__cfruid | SameSite=None; Secure | Sim |
__cflb | SameSite=Lax | Não |
Problemas conhecidos sobre cookies SameSite e cf_clearance
Quando um desafio Cloudflare CAPTCHA ou JavaScript é resolvido como para uma Regra de firewall ou Regra de acesso via IP, um cookie cf_clearance é definido no navegador do cliente. O cookie cf_clearance tem uma vida útil padrão de 30 minutos, mas é configurado pelo tempo de validade do desafio na guia Configurações do aplicativo Cloudflare Firewall.
O Cloudflare usa o SameSite=None desde o cookie cf_clearance para que as solicitações de visitantes de diferentes hostnames não sejam atendidas com desafios ou erros posteriores. Quando usado, o SameSite=None deve atuar em conjunto com o sinalizador Secure.
O uso do sinalizador Secure requer o envio do cookie via conexão HTTPS. Por padrão, o cookie cf_clearance muda para SameSite=Lax se você usar HTTP em alguma parte do seu site, podendo causar problemas.
Se estiver usando HTTP em alguma parte do site, o cookie cf_clearance muda para SameSite=Lax, o que pode fazer com que o site não funcione corretamente. Para resolver o problema, transfira o tráfego do site para HTTPS. O Cloudflare oferece dois recursos que podem ajudar: