【发布时间】:2020-05-21 21:02:55
【问题描述】:
我有 Apache 2.2.15 和 tomcat 6,我正在尝试在 Apache 中设置以下命令:
Header set Set-Cookie HttpOnly;Secure;SameSite=None
这不起作用。如果有任何建议和帮助,我将不胜感激,因为那时 iFrame 功能被破坏了。
【问题讨论】:
【发布时间】:2020-05-21 21:02:55
【问题描述】:
那个命令离你太远了,很难说你的意图是什么。
如果您尝试修改 cookie,您不想在这里使用Header edit... 吗?
如果您实际上是在尝试设置一个新的 cookie,那么您会丢失 cookie 的名称和值。
https://github.com/covener/apache-samesite/blob/master/samesite-global.conf
Header always edit Set-Cookie "^(?!.*(\s+|;)(?i)SameSite=)(.*)" "$0; SameSite=None; Secure" env=!SAMESITE_SKIP
Header onsuccess edit Set-Cookie "^(?!.*(\s+|;)(?i)SameSite=)(.*)" "$0; SameSite=None; Secure" env=!SAMESITE_SKIP
Header always edit Set-Cookie "(.*(\s+|;)(?i)Secure(\s+|;).*) Secure$" "$1" env=!SAMESITE_SKIP
Header onsuccess edit Set-Cookie "(.*(\s+|;)(?i)Secure(\s+|;).*) Secure$" "$1" env=!SAMESITE_SKIP
【讨论】:
-
感谢 Covener 的回复。上述命令是否适用于 Apache 2.2.15 版本?我在我的“xxx.force.com”站点中,试图通过 iFrame 打孔到另一个站点 yyy.blah.com。在启用相同站点标志(v80 标志更新)的情况下,不会发生 iFrame 打孔。尝试通过阅读一些博客在 Apache 中设置以下命令但不起作用,请不要在响应标头中看到 SameSite=None 设置。 "标头集 Set-Cookie HttpOnly;Secure;SameSite=None"
-
他们应该这样做。 “标题集”版本似乎是徒劳的。
-
我将上述 4 个命令放在 httpd.conf 中文件的末尾,当我 iframe 到其他域时,我没有看到 cookie 设置为 SameSite=None,在响应标头下的网络选项卡中安全。我做错了吗?
-
需要更改“其他域”设置的cookie。您是否配置了正确的服务器?
-
我正在配置以更正服务器,但在进行更多分析后,我发现并需要一些帮助。我们有站点 A (aaa.com), (AAASession cookie is set) ,在站点 A 登录后,我们重定向到另一个站点 B (bbb.bom)。鉴于其重定向,AAASession 不会通过重定向传递,并且从站点 B 我执行 iFrame 到站点 C (ccc.com) 并且站点 C 需要 AAASession 才能成功登录。使用 SameSite 默认设置,我可以在站点 A/站点 C 上看到 AAASession,而启用 SameSite(Chrome 更新修复将于 2 月 17 日进行)我看不到 AAASession 已通过,无法加载 iFrame。