як атрибут SameSite автоматично додається до мого файлу cookie Asp.net_SessionID?

Останнім часом samesite = lax додати автоматично до мого файлу cookie сесії! цей атрибут просто додати до sessionID: "Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite=Lax**"

Мій веб-сайт розміщений на IIS 8.5, Windows 2012 R2 і не має WAF або UrlRewrite, і я вимикаю AntiVirus (kasper).

але все ж є однакові проблеми на деяких серверах клієнтів.

будь-яка ідея?

ВІДМОВЛЕНО: Я знаходжу це: https://support.microsoft.com/en-us/help/4524419/kb4524419

Тепер ASP.NET видасть заголовок файлу cookie SameSite, коли значення HttpCookie.SameSite - "None", щоб приєднати майбутні зміни до обробки файлів cookie SameSite в Chrome. У рамках цієї зміни файли cookie FormsAuth та SessionState також будуть видані з SameSite = 'Lax' замість попереднього за замовчуванням 'None', хоча ці значення можуть бути замінені в web.config.

Як я можу замінити файли cookie на Samesite для SessionState у web.config? я додаю цей рядок, але він не працює на файлі cookie SessionID! <httpCookies sameSite="Unspecified" />

РЕДАКТИРОВАНО: Я знаходжу це: https://docs.microsoft.com/en-us/dotnet/api/system.web.configuration.sesionstatesection.cookiesamesite?view=netframework-4.8#System_Web_Configuration_SessionStateSection_CookieSameSite

Встановіть Samesite для stateserver за допомогою атрибута cookieSameSite тега SessionState.

Додайте ці параметри до web.config для sameSite = None, Lax або Strict

<system.web>
    <httpCookies sameSite="None"/>
    <sessionState cookieSameSite="None" />
    <authentication mode="Forms">
        <forms cookieSameSite="None" />
    </authentication>

Я не можу використовувати переписувати, оскільки UrlRewrite встановлений не на всіх моїх серверах клієнтів.

Нарешті я додаю cookieSameSite до свого web.config:

<sessionState mode="StateServer" cookieSameSite="None" sqlConnectionString="data source=(local);user id=sa;password=" cookieless="false" timeout="20" />

Атрибут CookieSameSite недоступний для багатьох старих рамок. Якщо у вас є ситуація, коли прийнята відповідь не підтримується у вашому оточенні, читайте далі!

Я змінив декілька відповідей SO, щоб створити це перезапис URL-адрес, що додає SameSite=Noneдо сесійних файлів cookie, а також видалити SameSite=Noneз усіх файлів cookie для більшості несумісних браузерів. Метою цього переписування є збереження "спадщини" поведінки до Chrome 80.

Повна реєстрація в моєму блозі Coder Frontline :

<rewrite>
  <outboundRules>
    <preConditions>
      <!-- Checks User Agent to identify browsers incompatible with SameSite=None -->
      <preCondition name="IncompatibleWithSameSiteNone" logicalGrouping="MatchAny">
        <add input="{HTTP_USER_AGENT}" pattern="(CPU iPhone OS 12)|(iPad; CPU OS 12)" />
        <add input="{HTTP_USER_AGENT}" pattern="(Chrome/5)|(Chrome/6)" />
        <add input="{HTTP_USER_AGENT}" pattern="( OS X 10_14).*(Version/).*((Safari)|(KHTML, like Gecko)$)" />
      </preCondition>
    </preConditions>

    <!-- Adds or changes SameSite to None for the session cookie -->
    <!-- Note that secure header is also required by Chrome and should not be added here -->
    <rule name="SessionCookieAddNoneHeader">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*ASP.NET_SessionId.*)" />
      <!-- Use this regex if your OS/framework/app adds SameSite=Lax automatically to the end of the cookie -->
      <!-- <match serverVariable="RESPONSE_Set-Cookie" pattern="((.*)(ASP.NET_SessionId)(=.*))(?=SameSite)" /> -->
      <action type="Rewrite" value="{R:1}; SameSite=None" />
    </rule>

    <!-- Removes SameSite=None header from all cookies, for most incompatible browsers -->
    <rule name="CookieRemoveSameSiteNone" preCondition="IncompatibleWithSameSiteNone">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=None)" />
      <action type="Rewrite" value="{R:1}" />
    </rule>
  </outboundRules>
</rewrite>

Це повинно працювати для більшості програм ASP .Net та ASP .Net Core, хоча нові рамки мають належні параметри коду та конфігурації, які дозволяють вам контролювати цю поведінку. Я рекомендую вивчити всі наявні у вас варіанти, перш ніж використовувати переписаний вище.

Останнє оновлення: відповідь zemien є більш вичерпною та повною, ніж моя. оскільки він встановлює файли cookie на основі агента користувача.

Моя відповідь:

Ви можете замінити SameSite = Lax на SameSite = Немає для ASP.NET_SessionId в web.config наступним чином:

<rewrite>
  <outboundRules>
    <rule name="AddSameSiteCookieFlag">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="((.*)(ASP.NET_SessionId)(=.*))(SameSite=Lax)" />
      <action type="Rewrite" value="{R:1};SameSite=None" />
    </rule>
  </outboundRules>
</rewrite>

Оновлення: щоб запобігти проблемі з IOS , замініть

<action type="Rewrite" value="{R:1};SameSite=None" />

з

<action type="Rewrite" value="{R:1};" />

@zemien ваше рішення правильно вирішило наші проблеми з Google Chrome

У нас є інтеграція, коли наша програма вбудована в рамку третьої сторони. Версія Chrome 80, випущена 4 лютого 2020 року, не дозволяла завантажувати файли cookie.

Однак мені довелося змінити шаблон, щоб захопити всі файли cookie, додати прапор Secure та умову не застосовувати перезапис на localhost для нашого локального не https середовища

<rule name="SessionCookieAddNoneHeader">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=.*)?" />
      <conditions logicalGrouping="MatchAll" trackAllCaptures="false">
        <add input="{HTTP_HOST}" pattern="localhost" negate="true" />
      </conditions>
      <action type="Rewrite" value="{R:1}; SameSite=None; Secure" />
</rule>

Працює для мене. Додано до мого файлу web.config:

<sessionState cookieSameSite="None"></sessionState>

Оновлення до .Net Framework 4.8 + патч встановлення: 2019-12 накопичувальне оновлення для .NET Framework 3.5 та 4.8 для Windows 10 версії 1909 для x64 (KB4533002)