Safari non invia cookie anche dopo aver impostato SameSite = Nessuno; Sicuro

La nostra applicazione utilizza i cookie per ricordare l'accesso dell'utente. Ogni chiamata API di autenticazione che effettuiamo, il browser allega cookie HTTPonly impostati dal server con la richiesta API e viene autenticato. Questo comportamento sembra essere stato interrotto in Safari dopo il rilascio di Mojave.

Ho letto della sicurezza dei cookie tra siti implementata da Safari e il nostro team di server ha aggiunto SameSite=None;Securedurante l'impostazione del cookie. Anche dopo, non funziona ancora.

Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None

Si prega di avvisare o fornire collegamenti da persone che hanno effettivamente trovato una soluzione.

Le versioni di Safari su MacOS 10.14 e tutti i browser su iOS 12 sono interessati da questo errore, il che significa che SameSite=Noneviene erroneamente trattato come SameSite=Strict, ad esempio, l'impostazione più restrittiva.

Ho pubblicato alcune indicazioni nelle ricette dei cookie di SameSite su:

• Utilizzando due set di cookie per tenere conto dei browser che supportano SameSite=None; Securee quelli che non lo supportano .
• Annusare l'agente utente per browser incompatibili e non servire SameSite=Noneper quelle richieste.

Per le applicazioni codificate in Ruby (in particolare, Rails, Sinatra o qualsiasi cosa in cima a Rack), la gemma RailsSameSiteCookie risolve questo problema e i problemi correlati abbastanza bene. Il codice si legge come una traduzione vicina dello pseudocodice nella discussione sul Chromium senza la fragile regex.