Safari non invia cookie anche dopo aver impostato SameSite = Nessuno; Sicuro


13

La nostra applicazione utilizza i cookie per ricordare l'accesso dell'utente. Ogni chiamata API di autenticazione che effettuiamo, il browser allega cookie HTTPonly impostati dal server con la richiesta API e viene autenticato. Questo comportamento sembra essere stato interrotto in Safari dopo il rilascio di Mojave.

Ho letto della sicurezza dei cookie tra siti implementata da Safari e il nostro team di server ha aggiunto SameSite=None;Securedurante l'impostazione del cookie. Anche dopo, non funziona ancora.

Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None

Si prega di avvisare o fornire collegamenti da persone che hanno effettivamente trovato una soluzione.

Risposte:


15

Le versioni di Safari su MacOS 10.14 e tutti i browser su iOS 12 sono interessati da questo errore, il che significa che SameSite=Noneviene erroneamente trattato come SameSite=Strict, ad esempio, l'impostazione più restrittiva.

Ho pubblicato alcune indicazioni nelle ricette dei cookie di SameSite su:

  • Utilizzando due set di cookie per tenere conto dei browser che supportano SameSite=None; Securee quelli che non lo supportano .
  • Annusare l'agente utente per browser incompatibili e non servire SameSite=Noneper quelle richieste.

1
Ciao Rowan, grazie per la risposta e scuse per la risposta tardiva. Ho chiesto al mio team lato server di provare la guida dal link web.dev sopra. Forse questa è una domanda completamente inappropriata da porre, comunque qui va. Dal momento che milioni di utenti sono interessati dal cambiamento, ci sono novità se in futuro il team di Apple ha in programma di risolverlo?
DieOnTime

Non posso parlare per il team Apple / Safari. Penso che il bug originale sia il posto migliore per quelle discussioni.
rowan_m,

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.