我无法在“应用程序”选项卡中使用内置开发人员工具查看 SameSite=Strict。
我在 Apache 配置中添加了下面的 Header 代码
Header always edit Set-Cookie (.*) "$1;SameSite=Strict"
Header edit Set-Cookie ^(.*)$ $1;SameSite=Strict
请告诉我如何使用上述设置设置 SameSite=Strict。
【问题讨论】:
标签: apache http-headers samesite
在我的本地环境(Apache 2.4)中启用 mod_headers 后,我可以通过在我的虚拟主机中添加如下指令来实现这一点:
<ifmodule mod_headers.c>
Header always edit Set-Cookie (.*) "$1; SameSite=strict"
</ifmodule>
区别在哪里?为什么它对你不起作用?可能是分号后缺少“空格”?
<ifmodule mod_headers.c>
# always is similar to "onerrors"
Header always edit Set-Cookie (.*) "$1; SameSite=strict"
# success is similar to http 2xx response code
Header onsuccess edit Set-Cookie (.*) "$1; SameSite=strict"
# remove duplications (apache sends from both tables always and onsuccess)
## https://www.tunetheweb.com/security/http-security-headers/secure-cookies/
#Strip off double SameSite=strict settings as using above you can sometimes get both
Header edit Set-Cookie ^(.*);\s?SameSite=strict;?\s?(.*);\s?SameSite=strict;?\s?(.*)$ "$1; $2; $3; SameSite=strict"
#Strip off double ;; settings
Header edit Set-Cookie ^(.*);\s?;\s?(.*)$ "$1; $2"
</ifmodule>
[apache 手册] (https://httpd.apache.org/docs/2.2/de/mod/mod_headers.html)
[堆栈讨论] (httpd duplicate Access-Control-Allow-Origin with "Header always set")
【讨论】:
Header always edit 不起作用但 Header onsuccess edit 起作用。 docs for mod_headers 解释了为什么 -- always 和 onsuccess 只是两个不同的表,而您要查找的标题可能在一个(或两个)中
对于 apache2 >= 2.2.4
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure;SameSite=Strict
对于低于 2.2.4 的 apache2
Header set Set-Cookie HttpOnly;Secure;SameSite=Strict
【讨论】: