Safari не надсилає файли cookie навіть після встановлення SameSite = None; Безпечний

Наш додаток використовує файли cookie, щоб запам'ятати вхід користувачів. Кожен виклик автентичного API, який ми робимо, браузер приєднує встановлений сервер файл cookie HTTPonly разом із запитом API та отримує автентифікацію. Така поведінка, схоже, порушена в сафарі після звільнення Мохаве.

Я читав про безпеку файлів cookie між веб-сайтами, реалізовані сафарі та нашою командою сервера, доданою SameSite=None;Secureпід час налаштування файлу cookie. Навіть після цього це все ще не працює.

Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None

Будь ласка, порадьте або надайте посилання людям, які насправді знайшли рішення.

Ця помилка позначається на версіях Safari на MacOS 10.14 та на всіх браузерах на iOS 12, тобто SameSite=Noneпомилково трактується як SameSite=Strict, наприклад, найбільш обмежувальна настройка.

Я опублікував кілька вказівок у рецептах cookie SameSite з будь-якого:

• Використання двох наборів файлів cookie для обліку веб-переглядачів, які підтримують, SameSite=None; Secureта тих, які не підтримують.
• Прослуховування агента користувача для несумісних веб-переглядачів і не подання SameSite=Noneцих запитів.

Для програм, кодованих у Ruby (конкретно, Rails, Sinatra чи будь-що на вершині Rack), дорогоцінний камінь RailsSameSiteCookie досить непогано вирішує цю проблему та пов'язані з цим проблеми. Код зчитується як близький переклад псевдокоду в дискусії Chromium без крихких регулярних виразів.