近期将Chrome更新到80+版本后,出现单点登录故障;祭出fiddler逐个请求排查后,发现有些环节的Cookie没有正确的写入和删除
F12和Fiddler上都看到Cookie的属性SameSite=None对比请求后发现可能是这里的问题;
引起的原因-代码层面
ASP.NET虽然服务端用的Framework是4.03的包;但是对比相关的system.web.dll反编译后,对比正常的服务器和非正常处理cookie的服务器
确实2019年12月的dll直接覆盖的4.03里的dll;多了一个SameSite的属性;
、
解决办法:
实际上是4.7以后的framework支持新的Cookie标准属性SameSite
如果老的站点无需维护可以使用临时的方案
配置文件里加上,即可解决
<appSettings> <add key="aspnet:SuppressSameSiteNone" value="true" /> </appSettings>
如果是持续迭代的项目,可以根据实际情况迭代代码设置相关属性值,或者做下面的全局配置:
<system.web> <httpCookies sameSite="Strict" requireSSL="false" /> <system.web>
SameSite支持Strict、Lax、None、Unspecified从严格到宽松依次排序
资料
https://docs.microsoft.com/en-us/aspnet/samesite/system-web-samesite#sob