软考题库
信息安全工程师 · 高频练习

SameSite Cookie 主要用来降低哪类安全风险?

中级 单选题 第 202 题 中等 信息安全工程师SameSite CookieCSRFWeb 安全
内容整理:软考题库编辑部 最近更新:
题目

某网站希望浏览器在跨站请求场景下不要随意携带敏感 Cookie,减少攻击者借用户登录态发起危险操作的机会。设置 Cookie 的 SameSite 属性,主要有助于降低()。

A 跨站请求伪造风险
B 硬盘磁头磨损
C 显示器色彩偏差
D 数据库字段名过长
题目类型:原创高频考点题 用途:用于帮助理解信息安全工程师相关考点和答案解析,不等同于官方真题。
书木兰刷题练习 适合懒人、小白的刷题通关平台
正确答案
A
答案解析

SameSite Cookie 通过限制浏览器在跨站请求中携带 Cookie 的方式,降低攻击者利用用户已登录状态伪造请求的风险。它不是 CSRF 防护的全部,但可以作为重要的浏览器侧辅助措施,常与 CSRF Token、Origin/Referer 校验等一起使用。

选项分析

A

正确。SameSite Cookie 可以降低跨站请求伪造利用 Cookie 登录态的风险。

B

错误。硬盘磨损属于硬件可靠性问题。

C

错误。显示器色彩偏差属于显示或多媒体校准问题。

D

错误。字段名长度与 Cookie 跨站携带无关。

本题为什么容易错

这题容易和 XSS 混。XSS 是恶意脚本在页面里执行,SameSite 主要不是用来阻止脚本执行,而是限制跨站请求时 Cookie 的携带行为。

先看结论

简短答案

SameSite Cookie 主要用来降低哪类安全风险,正确答案是 A(跨站请求伪造风险)。SameSite Cookie 通过限制浏览器在跨站请求中携带 Cookie 的方式,降低攻击者利用用户已登录状态伪造请求的风险。它不是 CSRF 防护的全部,但可以作为重要的浏览器侧辅助措施,常与 CSRF Token、Origin/Referer 校验等一起使用。

解析

易混淆概念对比表

概念本题判断区别要点记忆提示
跨站请求伪造风险 本题正确答案 正确。SameSite Cookie 可以降低跨站请求伪造利用 Cookie 登录态的风险。 看到题干核心场景时优先联想到它
硬盘磁头磨损 本题干扰项 错误。硬盘磨损属于硬件可靠性问题。 看到该词不要急着选,先判断是否真正解决题干问题
显示器色彩偏差 本题干扰项 错误。显示器色彩偏差属于显示或多媒体校准问题。 看到该词不要急着选,先判断是否真正解决题干问题
数据库字段名过长 本题干扰项 错误。字段名长度与 Cookie 跨站携带无关。 看到该词不要急着选,先判断是否真正解决题干问题
本题易混淆选项怎么区分
  • 硬盘磁头磨损:错误。硬盘磨损属于硬件可靠性问题。
  • 显示器色彩偏差:错误。显示器色彩偏差属于显示或多媒体校准问题。
  • 数据库字段名过长:错误。字段名长度与 Cookie 跨站携带无关。
复习

知识点详解

SameSite Cookie是信息安全工程师考试中需要结合场景理解的考点。围绕“SameSite Cookie 主要用来降低哪类安全风险”这类题目,复习时要先看题干描述的是概念定义、适用场景、作用效果,还是与其他选项的区别。本题的题干关键词是“某网站希望浏览器在跨站请求场景下不要随意携带敏感 Cookie,减少攻击者借用户登录态发起危险操作的机会。设置 Cookie 的 SameSite 属性,主要有助于降低()”,它指向的核心答案是 A(跨站请求伪造风险)。

备考速记

备考速记:题干如果强调“Web 安全”中的关键目标,就先联想到 SameSite Cookie;如果选项里出现 硬盘磁头磨损、显示器色彩偏差、数据库字段名过长,不要只看名称熟悉,要判断它们是否真正对应题干场景。

SameSite Cookie 在Web 安全场景中的作用

SameSite Cookie在本题中的核心价值,是解决“某网站希望浏览器在跨站请求场景下不要随意携带敏感 Cookie,减少攻击者借用户登录态发起危险操作的机会。设置 Cookie 的 SameSite 属性,主要有助于降低()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。

拓展

同类题怎么考

  • 给出Web 安全场景,判断应该选择哪个概念、工具、协议或管理过程。
  • 考查SameSite Cookie的作用,要求从四个相近选项中找出最符合题干目标的一项。
  • 把SameSite Cookie和硬盘磁头磨损、显示器色彩偏差、数据库字段名过长放在一起考,重点看适用场景是否一致。
  • 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
SameSite Cookie 在信息安全工程师软考中的考法

软考选择题通常不会只考概念定义,还会把SameSite Cookie放到Web 安全场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。

解题思路

题干没有说脚本被注入,也没有说 SQL 被拼接,而是说跨站请求和 Cookie 自动携带。这个方向就是 CSRF。SameSite 的价值在于让浏览器少帮攻击页面带凭据,等于从源头上收紧了一部分请求条件。

考点定位

CSRF 的题眼是“借用户已登录状态提交请求”。SameSite 关注的是 Cookie 在跨站请求中是否被浏览器自动带上。

易错提醒

  • 以为设置 SameSite 后就完全不需要其他 CSRF 防护。
  • 把 SameSite 和 HttpOnly 混淆:HttpOnly 主要限制脚本读取 Cookie。
  • 没有区分同站、跨站、同源这几个概念。

备考提示

  • Web 安全题可以按攻击入口记:XSS 看脚本执行,CSRF 看已登录请求被伪造,SQL 注入看数据库语句被篡改。
  • Cookie 安全属性建议一起复习:HttpOnly、Secure、SameSite 分别解决的侧重点不同。

你可能还想了解

  • SameSite Cookie 主要用来降低哪类安全风险?
  • SameSite Cookie是什么?
  • SameSite Cookie在信息安全工程师考试中怎么考?
  • 信息安全工程师SameSite Cookie题怎么理解?
  • SameSite Cookie 防什么怎么考?
  • SameSite和CSRF关系怎么考?

本文小结

本题核心考点是SameSite Cookie在Web 安全场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(跨站请求伪造风险)。