как атрибут SameSite автоматически добавляется в мой файл cookie Asp.net_SessionID?

Недавно samesite = lax автоматически добавляется в мой сеансовый файл cookie! этот атрибут просто добавить к sessionID: "Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite=Lax**"

Мой сайт размещен на IIS 8.5, Windows 2012 R2 и не имеет WAF или UrlRewrite, и я отключаю Антивирус (каспер).

но все же имеют такую ​​же проблему на некоторых клиентских серверах.

Есть идеи?

Отредактировано: я нахожу это: https://support.microsoft.com/en-us/help/4524419/kb4524419

ASP.NET теперь будет отправлять заголовок cookie SameSite, когда значение HttpCookie.SameSite равно «None» для учета предстоящих изменений в обработке cookie SameSite в Chrome. В рамках этого изменения файлы cookie FormsAuth и SessionState также будут выдаваться с SameSite = 'Lax' вместо предыдущего значения по умолчанию 'Нет', хотя эти значения могут быть переопределены в web.config.

Как я могу переопределить файлы cookie одного и того же сайта для SessionState в web.config? я добавляю эту строку, но она не работает с cookie SessionID! <httpCookies sameSite="Unspecified" />

РЕДАКТИРОВАНИЕ: Я нахожу это: https://docs.microsoft.com/en-us/dotnet/api/system.web.configuration.sessionstatesection.cookiesamesite?view=netframework-4.8#System_Web_Configuration_SessionStateSection_CookieSameSiteSite

Установите тот же сайт для сервера состояний с помощью атрибута «cookieSameSite» тега SessionState.

Добавьте эти параметры в web.config для sameSite = None, Lax или Strict

<system.web>
    <httpCookies sameSite="None"/>
    <sessionState cookieSameSite="None" />
    <authentication mode="Forms">
        <forms cookieSameSite="None" />
    </authentication>

Я не могу использовать перезапись, потому что UrlRewrite не установлен на всех серверах моих клиентов.

Наконец я добавляю cookieSameSite в мой web.config:

<sessionState mode="StateServer" cookieSameSite="None" sqlConnectionString="data source=(local);user id=sa;password=" cookieless="false" timeout="20" />

Атрибут CookieSameSite недоступен для многих более старых платформ. Если вы находитесь в ситуации, когда принятый ответ не поддерживается в вашей среде, читайте дальше!

Я изменил несколько ответов SO, чтобы придумать переписывание URL-адреса, которое добавляет SameSite=Noneфайлы cookie сеанса, а также удалить SameSite=Noneиз всех файлов cookie для большинства несовместимых браузеров. Целью этого переписывания является сохранение «устаревшего» поведения до Chrome 80.

Полная информация в моем блоге Coder Frontline :

<rewrite>
  <outboundRules>
    <preConditions>
      <!-- Checks User Agent to identify browsers incompatible with SameSite=None -->
      <preCondition name="IncompatibleWithSameSiteNone" logicalGrouping="MatchAny">
        <add input="{HTTP_USER_AGENT}" pattern="(CPU iPhone OS 12)|(iPad; CPU OS 12)" />
        <add input="{HTTP_USER_AGENT}" pattern="(Chrome/5)|(Chrome/6)" />
        <add input="{HTTP_USER_AGENT}" pattern="( OS X 10_14).*(Version/).*((Safari)|(KHTML, like Gecko)$)" />
      </preCondition>
    </preConditions>

    <!-- Adds or changes SameSite to None for the session cookie -->
    <!-- Note that secure header is also required by Chrome and should not be added here -->
    <rule name="SessionCookieAddNoneHeader">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*ASP.NET_SessionId.*)" />
      <!-- Use this regex if your OS/framework/app adds SameSite=Lax automatically to the end of the cookie -->
      <!-- <match serverVariable="RESPONSE_Set-Cookie" pattern="((.*)(ASP.NET_SessionId)(=.*))(?=SameSite)" /> -->
      <action type="Rewrite" value="{R:1}; SameSite=None" />
    </rule>

    <!-- Removes SameSite=None header from all cookies, for most incompatible browsers -->
    <rule name="CookieRemoveSameSiteNone" preCondition="IncompatibleWithSameSiteNone">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=None)" />
      <action type="Rewrite" value="{R:1}" />
    </rule>
  </outboundRules>
</rewrite>

Это должно работать для большинства приложений ASP .Net и ASP .Net Core, хотя более новые Frameworks имеют надлежащие параметры кода и конфигурации, позволяющие контролировать это поведение. Я бы порекомендовал изучить все варианты, доступные вам, прежде чем использовать мой переписать выше.

Последнее обновление: ответ zemien является более полным и полным, чем мой. потому что он устанавливает cookie на основе пользовательского агента.

Мой ответ:

Вы можете заменить SameSite = Lax на SameSite = None для ASP.NET_SessionId в web.config следующим образом:

<rewrite>
  <outboundRules>
    <rule name="AddSameSiteCookieFlag">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="((.*)(ASP.NET_SessionId)(=.*))(SameSite=Lax)" />
      <action type="Rewrite" value="{R:1};SameSite=None" />
    </rule>
  </outboundRules>
</rewrite>

Обновление: чтобы предотвратить проблему IOS , замените

<action type="Rewrite" value="{R:1};SameSite=None" />

с

<action type="Rewrite" value="{R:1};" />

@zemien ваше решение правильно решило наши проблемы с Google Chrome

У нас есть интеграция, в которой наше приложение встроено в iframe третьей стороны. Версия Chrome 80, выпущенная 4 февраля 2020 года, не позволяет загружать файлы cookie.

Однако мне пришлось изменить шаблон для захвата всех файлов cookie, добавить флаг Secure и условие, чтобы не применять перезапись на localhost для нашей локальной среды, отличной от https.

<rule name="SessionCookieAddNoneHeader">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=.*)?" />
      <conditions logicalGrouping="MatchAll" trackAllCaptures="false">
        <add input="{HTTP_HOST}" pattern="localhost" negate="true" />
      </conditions>
      <action type="Rewrite" value="{R:1}; SameSite=None; Secure" />
</rule>

Работает для меня. Добавлен в мой файл web.config:

<sessionState cookieSameSite="None"></sessionState>

Обновление до .Net Framework 4.8 + установочное исправление: 2019-12 Накопительное обновление для .NET Framework 3.5 и 4.8 для Windows 10 Версия 1909 для x64 (KB4533002)