为什么ASP.NET_SessionId cookie:拥有相同的属性两次SameSite=Lax;SameSite=None？

Question

我正在研究.net 4.5.2框架，并在下面添加代码，为ASP.NET_SessionId cookie分配SameSite = None。

<rewrite>
      <outboundRules>
        <rule name="AddSameSiteCookieFlag">
          <match serverVariable="RESPONSE_Set-Cookie" pattern="^(.*)(ASP.NET_SessionId)(=.*)$" />
          <action type="Rewrite" value="{R:0};SameSite=None;" />
        </rule>
      </outboundRules>
    </rewrite>

响应头: Set-Cookie: ASP.NET_SessionId=XXXXXXXXXXXXX；path=/；HttpOnly；

Answer 1

看起来，您只是将SameSite=None附加到Set-Cookie头中。这不是你想做的。代码中的某些内容已经在cookie上设置了SameSite=Lax。

删除这个并测试您的应用程序。会话cookie不太可能需要SameSite=None，除非您的站点总是在跨站点上下文中运行(例如单独站点上的iframe )。

如果您确实需要SameSite=None，那么可以：

在代码中找到要将其设置为None

• Find的位置，并将其更改为在代码中设置的位置，并将其删除，然后使用上面的规则追加SameSite=None.

。

注意事项：如果您确实需要SameSite=None，则必须还必须设置Secure。

更多细节请参见：https://web.dev/samesite-cookie-recipes/。