Cookies 如何排除.NET 4.5.2 web app中的SameSite属性
我有一个.NET 4.5.2 web应用程序,其中我需要在跨站点上下文中传递身份验证cookie。我通过将SameSite=None附加到路径来设置它Cookies 如何排除.NET 4.5.2 web app中的SameSite属性,cookies,.net-4.5,samesite,Cookies,.net 4.5,Samesite,我有一个.NET 4.5.2 web应用程序,其中我需要在跨站点上下文中传递身份验证cookie。我通过将SameSite=None附加到路径来设置它 FormsAuthentication.SetAuthCookie(myUser,false,$”{FormsAuthentication.FormsCookiePath};SameSite=None;Secure”), 某些浏览器与SameSite=None()不兼容,因此我必须排除它以支持这些浏览器: FormsAuthentication.
FormsAuthentication.SetAuthCookie(myUser,false,$”{FormsAuthentication.FormsCookiePath};SameSite=None;Secure”)代码>,
某些浏览器与SameSite=None()不兼容,因此我必须排除它以支持这些浏览器:
FormsAuthentication.SetAuthCookie(myUser,false,FormsAuthentication.formScookePath)代码>
在这两种情况下,.NET都将SameSite=“Lax”添加到cookie中,因此在第一种情况下,Set cookie头如下所示:
AC7.AUTH=ABC;路径=/;SameSite=无;保护HttpOnly;SameSite=Lax
在第二种情况下:
AC7.AUTH=ABC;路径=/;HttpOnly;SameSite=Lax
这似乎是在我们从Microsoft安装KB4530689安全更新时引入的。我们卸载了该更新,它恢复为不向所有cookie追加“SameSite=Lax”。我不确定如何长期缓解这个问题,如果Microsoft打算在较旧的.NET版本中使用这种行为,或者是否有另一种解决方案我只是没有看到。非常感谢您的帮助。我也一直在努力争取这一点。
看见
我们使用iframe,因此一个可能的解决方案是使用web.config更改。。。