เมื่อเร็ว ๆ นี้ samesite = lax เพิ่มโดยอัตโนมัติในเซสชันคุกกี้ของฉัน! คุณลักษณะนี้เพียงเพิ่มไปยัง sessionID:
"Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite=Lax**"
เว็บไซต์ของฉันโฮสต์บน IIS 8.5, Windows 2012 R2 และไม่มี WAF หรือ UrlRewrite และฉันปิด AntiVirus (kasper)
แต่ยังมีปัญหาเดียวกันกับเซิร์ฟเวอร์ของลูกค้าบางราย
ความคิดใด ๆ
แก้ไข: ฉันค้นหาสิ่งนี้: https://support.microsoft.com/en-us/help/4524419/kb4524419
ASP.NET จะปล่อยส่วนหัวของคุกกี้ SameSite เมื่อค่า HttpCookie.SameSite เป็น 'ไม่มี' เพื่อรองรับการเปลี่ยนแปลงที่จะเกิดขึ้นกับการจัดการคุกกี้ SameSite ใน Chrome ในฐานะส่วนหนึ่งของการเปลี่ยนแปลงนี้คุกกี้ FormsAuth และ SessionState จะออกให้กับ SameSite = 'Lax' แทนค่าเริ่มต้นก่อนหน้าของ 'ไม่มี' แม้ว่าค่าเหล่านี้จะถูกแทนที่ใน web.config
ฉันจะแทนที่คุกกี้ samesite สำหรับ SessionState ใน web.config ได้อย่างไร ฉันเพิ่มบรรทัดนี้ แต่มันใช้ไม่ได้กับคุกกี้ SessionID!
<httpCookies sameSite="Unspecified" />
ตั้งค่า samesite สำหรับสถานะเซิร์ฟเวอร์โดยแอตทริบิวต์ "cookieSameSite" ของแท็ก SessionState