「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
SameSite?属性とは、
- 下記に影響が出るなど、
- クロスサイトでPOST遷移した場合、Cookieが付与されない。
- IFRAMEを使用した場合、Cookieが付与されない。
認証界隈でも話題になっている。
詳細 †
これによる影響は、単純に、
- SameSite?属性の値次第で、
- クロスサイトの遷移の中でCookieが送信されなくなる。
と言う事である。
影響の具体例 †
「クロスサイトの遷移の中でCookieが送信されなくなる」ので、
一般的な問題 †
クロスサイトの遷移後、
※ 例えば、ECサイトのカート情報などが保持できなくなる。
などの問題が発生し得る。
IdPでの問題 †
以下の機能が動作しなくなる可能性がある。
トリガはブラウザの既定値の変更 †
以下のバージョンで、SameSite?属性が導入されている。
- Chrome:version 51
- Firefox:version ?
- Edge:Windows 10 ビルド17672以降
Chrome 78-80以降 †
- Secure属性を付けずSameSite?=Noneを指定した場合、
set-cookie自体が無効になったので、HTTPの場合は、
HTTPS化して、Secure属性を付与する必要がある。
- 新コロ対応
- 2020/4/3(現地時間)、この仕様を一時的に撤回すると発表した。
- 一方「Edge」などでは、この仕様変更が維持されている。
Firefox ?, Edge 80 †
MozillaのFirefoxやMicrosoftのEdgeブラウザでも、
「SameSite?=Lax」属性がデフォルトで追加される予定
- Firefox ?
- Edge 80(2020/02/10)より試験運用
影響への対応 †
- クロスサイトの画面遷移の方法を変更するか、
- 必要な部位に、SameSite?=Noneを明示する。
(加えて、HTTPS化してSecure属性を付与する)。
参考 †
Qiita †
Google, MS †
Tags: :プログラミング, :通信技術, :.NET開発, :.NET Core, :ASP.NET, :ASP.NET Web API