Recentemente samesite = lax si aggiunge automaticamente al mio cookie di sessione! questo attributo basta aggiungere a sessionID:
"Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite=Lax**"
Il mio sito Web è ospitato su IIS 8.5, Windows 2012 R2 e non ho WAF o UrlRewrite e spengo AntiVirus (kasper).
ma hanno ancora lo stesso problema su alcuni server dei clienti.
qualche idea?
EDITED: lo trovo: https://support.microsoft.com/en-us/help/4524419/kb4524419
ASP.NET emetterà ora un'intestazione di cookie SameSite quando il valore di HttpCookie.SameSite è "Nessuno" per accogliere le modifiche imminenti alla gestione dei cookie di SameSite in Chrome. Come parte di questa modifica, anche i cookie FormsAuth e SessionState verranno emessi con SameSite = 'Lax' invece della precedente impostazione predefinita di 'None', sebbene questi valori possano essere sovrascritti in web.config.
Come posso sovrascrivere i cookie samesite per SessionState in web.config? aggiungo questa riga, ma non funziona con il cookie SessionID!
<httpCookies sameSite="Unspecified" />
Imposta samesite per gli stati server tramite l'attributo "cookieSameSite" del tag SessionState.