我们的应用程序使用cookie来记住用户登录。我们进行的每次auth API调用,浏览器都会将服务器设置的HTTPonly cookie附加到API请求中,并进行身份验证。莫哈韦沙漠(Mojave)发布后,这种行为在野生动物园中似乎已被打破。
我了解了由safari实现的跨站点cookie安全性,并且SameSite=None;Secure在设置cookie时添加了我们的服务器团队。即使在那之后,它仍然不起作用。
Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None
请提供建议或提供实际找到解决方案的人的链接。
Answers:
此错误影响MacOS 10.14上的Safari版本和iOS 12上的所有浏览器,这意味着将SameSite=None其错误地视为SameSite=Strict,例如,限制性最强的设置。
我在以下任一网站上的SameSite Cookie食谱中发布了一些指南:
SameSite=None; Secure和不支持的浏览器。SameSite=None为这些请求提供服务。对于用Ruby编码的应用程序(特别是Rails,Sinatra或Rack上的任何东西),RailsSameSiteCookie gem可以很好地解决此问题和相关问题。在Chromium讨论中,该代码的读法类似于伪代码的近义翻译,而没有易碎的正则表达式。