SameSite=None w/ IE11中的安全中断iFrame

Question

随着最近的变化，SameSite的cookie属性现在似乎给我的网站带来了麻烦。以前在我的站点上工作过的跨浏览器iframe现在已经失效了--即使使用SameSite=None；在响应头中通过iFrame也是安全的。

我看到了与人们所说的Windows 7不支持SameSite=none的报道有很大不同。其他人说安全是坏了还是没破。但是，即使是当前的微软文档也没有明确说明Win7 IE11应该如何对SameSite=None做出反应。

在这一点上，我正在寻找一些提示或技巧，从任何人谁可以帮助。我已经做了我能想到的一切。这在以前起作用了，现在突然屏蔽了iFrame并抛出了一个500个错误。设定曲奇的顺序会导致这种情况吗？

通过一些浏览器测试，我发现了以下内容：

• Windows 10 - IE11坏了，边缘坏了，边缘(Beta) works
• Windows8.1- IE11 works，Edge(beta) works
• Windows 8- IE11坏了，边缘(Beta) works
• Windows 7- IE11坏了，没有边缘

​

Set-Cookie响应头：

Set-Cookie MySitePersistence=436457226.47873.0000; path=/; httponly; secure; SameSite=none; Secure

我尝试将IE作为重写preCondition直接针对IE使用

<add input="{RESPONSE_Set_Cookie}" pattern="." />

<add input="{RESPONSE_Set_Cookie}" pattern="; SameSite=none" negate="true" />

<add input="{HTTP_USER_AGENT}" pattern="^.*MSIE ([0-9]{1,}[\\.0-9]{0,})*.*$" negate="true" />

<add input="{HTTP_USER_AGENT}" pattern="^.*Trident/.*rv:([0-9]{1,}[\\.0-9]{0,})*.*$" negate="true" />

Answer 1

出现此问题的原因是，Asp.NET_SessionID cookie并不总是由于cookie中的新更改而发送，并且cookie现在具有一个SameSite=Lax属性。

您可以将会话cookie的SameSite属性设置为“None”，方法是在web.config中添加该属性：

<system.web>     
     <sessionState cookieSameSite="None" />     
</system.web> 

这与出站规则(SameSite=None；Secure)一起工作。您可以参考这条丝线。

供参考的更多信息：

(1) SameSite在ASP.net应用程序的代码中

(2) 新世界的SameSite=Lax

(3) SameSite cookie在ASP.net中的更新，或者12月的.Net框架如何改变了我的cookie使用