最近samesite = lax自动添加到我的会话cookie中!此属性仅添加到sessionID中:
"Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite=Lax**"
我的网站托管在IIS 8.5,Windows 2012 R2上,没有WAF或UrlRewrite,因此我关闭了AntiVirus(kasper)。
但在某些客户服务器上也有同样的问题。
任何的想法?
编辑: 我发现了这个:https : //support.microsoft.com/en-us/help/4524419/kb4524419
现在,当HttpCookie.SameSite值为“ None”时,ASP.NET将发出SameSite cookie标头,以适应即将在Chrome中对SameSite cookie处理进行的更改。作为此更改的一部分,尽管可以在web.config中覆盖这些值,但FormsAuth和SessionState cookie也将使用SameSite ='Lax'发出,而不是以前的默认值'None'。
如何在web.config中为SessionState覆盖samesite cookie?我添加了这一行,但不适用于SessionID cookie!
<httpCookies sameSite="Unspecified" />
编辑:我发现了这个:https : //docs.microsoft.com/zh-cn/dotnet/api/system.web.configuration.sessionstatesection.cookiesamesite?view=netframework-4.8#System_Web_Configuration_SessionStateSection_CookieSameSite
通过SessionState标记的“ cookieSameSite”属性为状态服务器设置相同站点。