最近samesite=lax自动添加到我的会话cookie!
此属性仅添加到sessionID中:
“Set Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125;path=/;HttpOnly;**SameSite=Lax**”
我的网站托管在IIS 8.5、Windows 2012 R2上,没有WAF或URLRewite,我关闭了防病毒软件(kasper)
但在某些客户服务器上也存在同样的问题
有什么想法吗
编辑:
我发现:
https://support.microsoft.com/en-us/help/4524419/kb4524419
当HttpCookie.SameSite值为“None”时,ASP.NET现在将发出SameSite cookie标头,以适应Chrome中SameSite cookie处理即将发生的更改。作为此更改的一部分,FormsAuth和SessionState Cookie也将使用SameSite=’Lax’而不是以前的默认值’None’发出,尽管这些值可以在web.config中重写
如何在web.config中覆盖SessionState的samesite cookies?
我添加了这一行,但它在SessionID cookie上不起作用!
<;httpCookies sameSite=“未指定”/>
编辑:我发现:https://docs.microsoft.com/en-us/dotnet/api/system.web.configuration.sessionstatesection.cookiesamesite?view=netframework-4.8#系统#网站(Web)配置(SessionStateSection)CookieSameSite
通过SessionState标记的“cookieSameSite”属性为stateserver设置samesite
为sameSite=None、Lax或Strict将这些选项添加到web.config
<;系统.web>;
<;httpCookies sameSite=“无”/>;
<;sessionState cookieSameSite=“无”/>;
<;身份验证模式=“表单”>;
<;表单cookieSameSite=“无”/>;
</认证>;