Safari ไม่ได้ส่งคุกกี้แม้หลังจากการตั้งค่า SameSite = None; การรักษาความปลอดภัย

แอปพลิเคชันของเราใช้คุกกี้เพื่อจดจำการเข้าสู่ระบบของผู้ใช้ ทุกครั้งที่เราเรียก API ให้ตรวจสอบเบราว์เซอร์จะแนบคุกกี้ HTTPonly ที่ตั้งค่าเซิร์ฟเวอร์ไว้กับคำขอ API และได้รับการรับรองความถูกต้อง พฤติกรรมนี้ดูเหมือนจะถูกทำลายในซาฟารีหลังจากโมฮาวีปล่อย

ฉันอ่านเกี่ยวกับการรักษาความปลอดภัยคุกกี้ข้ามไซต์ที่ดำเนินการโดยซาฟารีและทีมเซิร์ฟเวอร์ของเราถูกเพิ่มSameSite=None;Secureขณะตั้งค่าคุกกี้ แม้หลังจากนั้นก็ยังไม่ทำงาน

Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None

กรุณาแนะนำหรือให้ลิงค์จากผู้ที่พบวิธีการแก้ปัญหาจริง ..

เวอร์ชันของ Safari บน MacOS 10.14 และเบราว์เซอร์ทั้งหมดใน iOS 12 ได้รับผลกระทบจากข้อผิดพลาดนี้ซึ่งหมายความว่าSameSite=Noneจะได้รับการจัดการอย่างผิดพลาดSameSite=Strictเช่นการตั้งค่าที่เข้มงวดที่สุด

ฉันได้เผยแพร่คำแนะนำบางอย่างในสูตรคุกกี้ SameSiteที่:

• การใช้คุกกี้สองชุดเพื่อบัญชีสำหรับเบราว์เซอร์ที่สนับสนุนSameSite=None; Secureและคุกกี้ที่ไม่รองรับ
• การดมกลิ่นตัวแทนผู้ใช้สำหรับเบราว์เซอร์ที่เข้ากันไม่ได้และไม่ให้บริการSameSite=Noneสำหรับคำขอเหล่านั้น

สำหรับแอปพลิเคชันที่เข้ารหัสใน Ruby (โดยเฉพาะ Rails, Sinatra หรืออะไรก็ได้บน Rack) อัญมณี RailsSameSiteCookieแก้ปัญหานี้และปัญหาที่เกี่ยวข้องค่อนข้างดี โค้ดอ่านเหมือนการแปลใกล้เคียงของรหัสเทียมในการสนทนา Chromiumโดยไม่มี regex ที่เปราะบาง