OSS Consortium


 

日本語 | English

開発基盤部会 Blog

開発基盤部会 Blog >> Article details

2020/08/06

SameSite属性どころか、HTTP自体がダメになってた件(Cookie)

Tweet ThisSend to Facebook | by nishino
 最近、動画中でデバッグしていたら、Chromeだと、Cookieを使用している機能が上手く動かなくなってて、SameSite属性(3rd Party Cookie)関連かなぁ?などと、あまり深く考えずに、Edge側に逃げていたら、いよいよ、昨日、Edgeでも動かなくなってて、慌てて色々調べると、


 しれっと

 「【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。

 なんて、書いてありました。
 (クロスサイト関係無し)

 業務系では、ほぼ、HTTPSを使用していると思われるので、問い合わせは、今の所、ありませんが、開発・デバッグ環境などでは、この問題で「?」状態になっている人が、一定数、居る気がするので、早々に、デフォルトの設定をHTTPからHTTPSに変更したほうがイイと思いました(HTTPでは、既存のSession Cookieや、Cookie認証チケットが保存されず、Sessionや認証機能が動作しなくなります)。

 また、SameSite=Laxがデフォルトになるらしいので、SameSite=Lax(GETならクロスサイトでもCookieを送る)でも問題が出ない様にシステムをメンテナンスして行く必要がありそうです(OAuth2/OIDCのresponse_mode=form_postや、SAMLのPOST Bindingは、デフォルトのLaxでは、ダメっぽいですね。)。

<参考>


00:00 | Impressed! | Voted(0) | Comment(0) | お知らせ