ما هو SameSite Cookie؟
SameSite Cookie هي خاصية أمان في ملفات تعريف الارتباط (cookies) تساعد على تقليل مخاطر هجمات تزوير الطلبات عبر المواقع (Cross-Site Request Forgery - CSRF). ببساطة، تتحكم هذه الخاصية في متى وكيف يمكن لمتصفح الويب إرسال ملفات تعريف الارتباط إلى الخادم، بناءً على ما إذا كان الطلب يأتي من نفس الموقع أو من موقع خارجي.
لماذا تم تقديم خاصية SameSite في ملفات تعريف الارتباط؟
قبل ظهور خاصية SameSite، كانت ملفات تعريف الارتباط تُرسل مع كل طلب HTTP سواء كان الطلب من نفس الموقع الأصلي أو من موقع آخر مختلف. هذا جعل من الممكن للمهاجمين استغلال ملفات تعريف الارتباط وأداء هجمات CSRF، حيث يمكن إيقاع المستخدم بتنفيذ إجراءات غير مرغوبة على المواقع التي يزورونها، مثل تغيير الإعدادات أو إرسال بيانات بدون علمهم.
أنواع قيمة SameSite وأثرها
توفر خاصية SameSite ثلاث قيم رئيسية يمكن تعيينها لملف تعريف الارتباط:
1. Strict: تمنع إرسال ملف تعريف الارتباط عند قيام المستخدم بزيارة الموقع عبر رابط من موقع آخر، أي أن ملفات تعريف الارتباط تُرسل فقط عندما يكون الطلب من نفس الموقع بالضبط. هذا يعزز الأمان بشكل كبير لكنه قد يسبب مشاكل في تجربة المستخدم، خاصة مع بعض الوظائف التي تعتمد على طلبات من مواقع مختلفة.
2. Lax: هي القيمة الافتراضية في كثير من المتصفحات الحديثة، وتسمح بإرسال ملفات تعريف الارتباط مع بعض الطلبات ذات السياق الآمن من مواقع مختلفة، مثل الانتقال من رابط خارجي إلى الموقع عبر رابط عادي (GET request)* لكنها تمنع إرسالها مع الطلبات التي قد تغير حالة الموقع، مثل POST requests. هذا التوازن بين الأمان وتجربة المستخدم.
3. None: تسمح بإرسال ملفات تعريف الارتباط مع كل الطلبات، حتى من مواقع مختلفة، ولكن يجب عند استخدام هذه القيمة أن يتم تعيين خاصية Secure لضمان إرسال الكوكي خلال اتصال مشفر (https). هذه القيمة تستخدم في الحالات التي تحتاج تطبيقات متعددة المواقع إلى مشاركة ملفات تعريف الارتباط بشكل كامل.
أهمية خاصية SameSite في تحسين الأمان وتجربة المستخدم
باستخدام SameSite، يمكن للمطورين تقليل مخاطر الهجمات السيبرانية بدون التأثير كثيرًا على سير تجربة المستخدم في الموقع. خاصة مع قيمة Lax، التي تسمح لمواقع الويب بالحفاظ على الأداء الطبيعي في معظم حالات الاستخدام، مثل تسجيل الدخول والنقر على الروابط الخارجية، مع تقليل خطر الاستغلال عبر محاولات الطلبات الضارة من مواقع أخرى.
علاوة على ذلك، تعمل معظم المتصفحات الحديثة الآن على فرض تعيين خاصية SameSite للكوكيز بشكل افتراضي لتوفير طبقة أمان إضافية، وهذا يجعل من المهم لكل مطور ويب فهم هذه الخاصية وكيفية ضبط ملفات تعريف الارتباط فيها بشكل صحيح.
