Safari no envía cookies incluso después de configurar SameSite = None; Seguro

13

Nuestra aplicación utiliza cookies para recordar el inicio de sesión del usuario. Cada vez que realizamos una llamada a la API de autenticación, el navegador adjunta la cookie HTTPonly establecida por el servidor con la solicitud de la API y se autentica. Este comportamiento parece estar roto en el safari después del lanzamiento de Mojave.

Leí sobre la seguridad de cookies entre sitios implementada por safari y nuestro equipo de servidores agregó SameSite=None;Secureal configurar la cookie. Incluso después de eso, todavía no funciona.

Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None

Por favor avise o proporcione enlaces de personas que realmente encontraron una solución.

DieOnTime
fuente

Respuestas:

15

Las versiones de Safari en MacOS 10.14 y todos los navegadores en iOS 12 se ven afectadas por este error, lo que significa que SameSite=Nonese trata erróneamente como SameSite=Strict, por ejemplo, la configuración más restrictiva.

He publicado algunas pautas en las recetas de cookies de SameSite sobre:

  • Usar dos conjuntos de cookies para tener en cuenta los navegadores que admiten SameSite=None; Securey los que no.
  • Olfatear el agente de usuario para navegadores incompatibles y no servir SameSite=Nonepara esas solicitudes.
rowan_m
fuente
1
Hola Rowan, gracias por la respuesta y disculpas por la respuesta tardía. Le he pedido a mi equipo del lado del servidor que pruebe la guía del enlace web.dev anterior. Tal vez esta es una pregunta completamente inapropiada, de todos modos aquí va. Dado que el cambio afecta a millones de usuarios, ¿hay alguna novedad si hay un plan en el futuro del equipo de Apple para resolverlo?
DieOnTime
No puedo hablar por el equipo Apple / Safari. Creo que el error original es el mejor lugar para esas discusiones.
rowan_m