重定向时未发送 Cookie。推荐人是罪魁祸首吗？答案

【问题标题】：Cookie not sent on redirection. Is Referer the culprit?重定向时未发送 Cookie。推荐人是罪魁祸首吗？
【发布时间】：2016-05-14 17:44:48
【问题描述】：

我有一个实现 OpenID Connect 客户端的 HTTP 服务器。 OpenID Connect 协议涉及许多重定向，其中一个给我带来了麻烦，可能是由于 Referer 标头的存在。 Firefox、Chrome 和 IE 都会出现此问题。

我的服务器收到一个请求。浏览器被重定向到 OpenID 提供者。
OpenID 提供程序对最终用户进行身份验证并将浏览器重定向到我服务器上的端点。
我的服务器与 OpenID Provider 交互以确定最终用户的身份并为用户建立会话。
浏览器被重定向回我的服务器以重新执行原始请求，这次使用 cookie 中的会话 ID。

我为测试创建了一个简单的 OpenID Connect Provider 实现，一切正常。但是在用salesforce.com测试的时候，第4步的最终重定向有问题。当使用salesforce.com时，最终的请求不包含Cookie头。

使用我的 OpenID Connect Provider 进行测试

第 4 步中发送到用户浏览器的响应：

HTTP/1.1 302 Found
Set-Cookie: session=c925f5006beb15cab779b292fe37e727; path=/; secure; HttpOnly
Location: https://localhost:21201/targetService
Content-Type: text/html; charset=UTF-8
Content-Length: 75

浏览器返回：

GET /targetService HTTP/1.1
Host: localhost:21201
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36
DNT: 1
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8
Cookie: session=c925f5006beb15cab779b292fe37e727

看起来不错，请求得到尊重。请求的资源以 200 状态返回。

使用 salesforce.com 进行测试

第 4 步中发送到用户浏览器的响应：

HTTP/1.1 302 Found
Set-Cookie: session=5c6980f0ca3a1860b66880c836865eb0; path=/; secure; HttpOnly
Location: https://localhost:21200/targetService
Content-Type: text/html; charset=UTF-8
Content-Length: 75

浏览器返回：

GET /targetService HTTP/1.1
Host: localhost:21200
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36
DNT: 1
Referer: https://na16.salesforce.com/setup/secur/RemoteAccessAuthorizationPage.apexp?source=CAAAAVKuWovcME8wODAwMDAwMDAwMDA0AAAAxrM5iJVLBE88gApP096QhF5f83j0HN8ziJiIAdQEiiPmEiBfkMSrZVdxHPiO0EmDxIeKxZCkfidhCpaB4sEOkTNXsBjtNOE3NuhngS-cU8NPzTGM5aSnS8GiPgfui_7SvRh0y6jfFqYg_WkIh0RDK9u7KQjuz4VsFy5lJ2wBP0tyKSmpKSoXVCSxiwwcRZJbCjZVxWwiwodVVf5YfgAOpJ8fF64-swwZNxzi7-ZpTPPZVBIJtxaO_VKIDbrRH9BnaIoo7FRld4P0pYmlh7SOk4I5YhibW_dc-NqQ8YHj7EXv9EMc0Zk2PFDfP8QJV1LJ_pdu-UzpI-r78JTMQlZeF6OC2ANaMGykEyD9BI7cFNKu6UD1MljaiRCcEuMdqP2n7s0yFmRt1o-wl9gSIY6BHq_0LshPlC_quufFA6qFwLEperjE3LZ78JBYLUTLFAlzM1GeGEh75MADZZqvWQE7DTbrvYcB29Q0tMK2jC22FTp8GqfxgSD5UBirfCWjfLDkDccII2g1AwteoH0tBTwhNUQqA2bb8Tl7aRQ_vIHxRboN9h5WlSpZEqphiq_FJAL1F3bPoicoSCvFDxYzQj-SrlY%3D&display=page
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8

如您所见，浏览器通过发送不带 cookie 的下一个请求来响应重定向。因为没有 cookie，我的服务器将浏览器重定向到 OpenID Provider 进行身份验证，开始一个无限循环。

我能看到的唯一区别是，在使用 salesforce.com 进行测试时，最终请求包含一个引用者。我怀疑这可能导致它不包含cookie。是这样吗？如果是这样，关于我能做些什么的任何想法。显然，我无法控制 salesforce.com 的行为。

【问题讨论】：

标签： http redirect cookies referer

【解决方案1】：

将 cookie SameSite 从“严格”更改为“宽松”

【讨论】：

【解决方案2】：

事实证明，Referer 不是罪魁祸首。我发现你可以在 Firefox 中使用disable use of the Referer header。我这样做了，但仍然得到相同的结果。从 salesforce.com 返回后重定向时，浏览器不支持 Set-Cookie 标头。也就是在原帖的第4步中仍然没有发送cookie。

所以，问题还没有解决，但是这个问题已经回答了。

【讨论】：