マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

SameSite?属性とは、

  • Cookie関連のHTTPヘッダで、
    • CSRF対策のために実装された。
    • 3rd Party Cookieのクロスサイトでの扱いを変更する属性。
    • Chromeでは、「SameSite?=Lax」に設定される。
  • 下記に影響が出るなど、
    • クロスサイトでPOST遷移した場合、Cookieが付与されない。
    • IFRAMEを使用した場合、Cookieが付与されない。

認証界隈でも話題になっている。

詳細

これによる影響は、単純に、

  • SameSite?属性の値次第で、
  • クロスサイトの遷移の中でCookieが送信されなくなる。

と言う事である。

影響の具体例

「クロスサイトの遷移の中でCookieが送信されなくなる」ので、

一般的な問題

クロスサイトの遷移後、

※ 例えば、ECサイトのカート情報などが保持できなくなる。

などの問題が発生し得る。

IdPでの問題

以下の機能が動作しなくなる可能性がある。

トリガはブラウザの既定値の変更

以下のバージョンで、SameSite?属性が導入されている。

  • Chrome:version 51
  • Firefox:version ?
  • Edge:Windows 10 ビルド17672以降

Chrome 78-80以降

  • Chrome 78-79
    SameSite属性値がLaxの場合、
    「2分間はCookieを送信する」と言う
    (よけい混乱する)独自動作を行う。
  • Chrome 80
  • Secure属性を付けずSameSite?=Noneを指定した場合、
    set-cookie自体が無効になったので、HTTPの場合は、
    HTTPS化して、Secure属性を付与する必要がある。
  • 新コロ対応
    • 2020/4/3(現地時間)、この仕様を一時的に撤回すると発表した。
  • 一方「Edge」などでは、この仕様変更が維持されている。

Firefox ?, Edge 80

MozillaのFirefoxやMicrosoftのEdgeブラウザでも、
SameSite?=Lax」属性がデフォルトで追加される予定

  • Firefox ?
  • Edge 80(2020/02/10)より試験運用

影響への対応

  • クロスサイトの画面遷移の方法を変更するか、
  • 必要な部位に、SameSite?=Noneを明示する。
    (加えて、HTTPS化してSecure属性を付与する)。

参考

  • EC事業者にも関係するSameSite?属性!
    カートに入れたはずの商品がない?
    ログインが何回も求められる?
    Chrome 80の仕様変更とその影響・対策(2020年2月3日追記)
    https://www.future-shop.jp/magazine/info-samesite

Qiita

Google, MS

Cookie > 3rd Party Cookie問題


Tags: :プログラミング, :通信技術, :.NET開発, :.NET Core, :ASP.NET, :ASP.NET Web API


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-08-28 (金) 09:09:57 (89d)