Chrome 76 将开始支持显式 SameSite: None 属性
https://web.dev/samesite-cookies-explained/
我发现 ASP.NET Core 的当前实现将SameSiteMode.None 视为无操作并且不发送任何属性。如何向 cookie 添加自定义属性,从而在 cookie 文本中添加显式 SameSite: None?
将属性附加到 cookie 值不起作用,因为 HttpResponse.Cookies.Append 对 cookie 值进行 url 编码。
【问题讨论】:
标签: c# asp.net asp.net-core
在 ASP.NET 中出现与在 ASP.NET Core 中相同的问题。
在 Microsoft 提供修复之前,对我有用的 hack 是替换
myCookie.Path = "/";
myCookie.SameSite = SameSiteMode.None; // has no effect
与
myCookie.Path = "/; SameSite=None";
这会将SameSite=None 添加到HTTP 响应中的set-cookie 标头。
【讨论】:
现已在所有 .NET Framework 和 .NET Core 版本的最新版本中修复 (https://github.com/aspnet/AspNetCore/issues/12125)
我有多个项目在 .NET Core 2.2 上运行,升级到 2.2.207 后,我不再遇到问题了。
这里是Startup.cs 文件的ConfigureServices 方法中的示例代码
services.ConfigureApplicationCookie(options => {
options.Cookie.SameSite = SameSiteMode.None;
});
【讨论】:
[编辑] 如果您使用 nuget 的所有 dll 和包, 您必须确保 Microsoft.Net.Http.Headers 是以上版本的 2.2.8。
在 2019 年 12 月 10 日来自微软的最后一个 KB 之后, 它应该在 .net 框架和 dotnetcore 中修复。
见:
【讨论】:
response.Headers.Append("set-Cookie", $"{cookieName}={cookieValue}; path=/; SameSite=None; Secure"); 似乎按预期工作。
我通过在 Chrome Dev 76 中启用 same-site-by-default-cookies 和 cookies-without-same-site-must-be-secure 对此进行了测试
【讨论】: