SameSite属性中断SAML流

Question

Chrome 80将引入一个新的属性，即SameSite。

• 严格只为“同一站点”请求附加cookie。
• Lax -为“相同站点”请求发送cookie，以及使用安全HTTP方法的“跨站点”顶级导航(获取头选项跟踪)。
• 没有-发送饼干所有‘相同的网站’和‘跨网站’的要求。

要了解更多信息，这篇文章解释SameSite相当不错。

来自Azure文件：

云服务(服务提供者)使用HTTP重定向绑定将AuthnRequest (身份验证请求)元素传递给Azure (标识提供者)。Azure AD然后使用HTTP绑定将响应元素发布到云服务

我的问题是为什么SameSite破坏SAML流？"saml“类问题？

当IdP将响应发送回SP时，如果是SameSite=Lax，用户代理将不会发送带有SP域的cookie。即使它不发送cookie，我也不认为SP有任何问题。

Answer 1

当IdP将响应发送回SP时，如果是SameSite=Lax，用户代理将不会发送带有SP域的cookie。即使它不发送cookie，我也不认为SP有任何问题。

在init上，可能不会有任何问题，因为在发送的SAML响应之外没有状态。

然而，SP-init流很可能会被破坏。原因是大多数SP产品通过它设置的cookie跟踪浏览器会话，然后将用户发送到IdP。浏览器被重定向到IdP，进行身份验证，并通过POST上的响应将其发送回SP。如果cookie不是用SameSite=None;Secure设置的(不要忘了--需要SameSite=None的cookie也必须用Secure设置)，那么SP的cookie就不会被传递回带有POST的SP，这样SP就没有了安全配置会话所需的所有片段。

一种看待它的方法是，用户需要两组密钥来在SP中建立安全会话:第一种是它想要从cookie中获取会话密钥，另一种是它想要来自IdP的密钥。

Answer 2

>> Even if it does not send cookies I don't see there is any problem with SP.

如果IdP cookie没有使用SameSite=None正确设置，它将不会被发送到从SP到IdP的请求，并且用户将再次被要求登录到IdP。

来源：https://support.okta.com/help/s/article/FAQ-How-Chrome-80-Update-for-SameSite-by-default-Potentially-Impacts-Your-Okta-Environment

这就是Shibboleth：https://issues.shibboleth.net/jira/browse/IDP-1476所做的

Answer 3

使用Lax，浏览器将只通过顶级导航(GET)传递跨站点请求的cookie。因此，cookie不会与通过HttpMethods发出的跨站点请求一起传递，而不是GET (比如POST)。您可以在这里找到更多信息：https://thilankadeshan.wordpress.com/2020/11/09/jsession-new-samesite-cookie-policy-in-google-chrome-and-spring/