Safari không gửi cookie ngay cả sau khi cài đặt SameSite = Không; Đảm bảo

13

Ứng dụng của chúng tôi sử dụng cookie để ghi nhớ đăng nhập của người dùng. Mỗi cuộc gọi API xác thực chúng tôi thực hiện, trình duyệt sẽ đính kèm cookie HTTPonly do máy chủ đặt với yêu cầu API và được xác thực. Hành vi này dường như bị phá vỡ trong safari sau khi Mojave phát hành.

Tôi đã đọc về bảo mật cookie giữa các trang web được thực hiện bởi safari và nhóm máy chủ của chúng tôi đã thêm SameSite=None;Securetrong khi đặt cookie. Ngay cả sau đó, nó vẫn không hoạt động.

Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None

Vui lòng tư vấn hoặc cung cấp liên kết từ những người thực sự tìm thấy giải pháp ..

javascript  cookies  safari  setcookie  samesite 
Thời gian chết
nguồn

Câu trả lời:

15

Các phiên bản Safari trên MacOS 10.14 và tất cả các trình duyệt trên iOS 12 đều bị ảnh hưởng bởi lỗi này, điều đó có nghĩa SameSite=Nonelà bị xử lý sai như SameSite=Strict, ví dụ như cài đặt hạn chế nhất.

Tôi đã xuất bản một số hướng dẫn trong công thức nấu ăn cookie SameSite trên một trong hai:

  • Sử dụng hai bộ cookie để tính đến các trình duyệt hỗ trợ SameSite=None; Securevà các trình duyệt không hỗ trợ .
  • Đánh hơi tác nhân người dùng cho các trình duyệt không tương thích và không phục vụ SameSite=Nonecho các yêu cầu đó.
rowan_m
nguồn
1
Xin chào Rowan, Cảm ơn bạn đã trả lời và xin lỗi vì phản hồi muộn. Tôi đã yêu cầu nhóm phía máy chủ của mình thử hướng dẫn từ liên kết web.dev ở trên. Có lẽ đây là một câu hỏi hoàn toàn không phù hợp để hỏi, dù sao đi nữa đây. Vì hàng triệu người dùng bị ảnh hưởng bởi sự thay đổi, bất kỳ tin tức nào nếu có kế hoạch trong tương lai từ nhóm apple để giải quyết nó?
DieOnTime
Tôi không thể nói cho nhóm Apple / Safari. Tôi nghĩ rằng lỗi ban đầu là nơi tốt nhất cho những cuộc thảo luận đó.
rowan_m
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.