Ми це зрозуміли.
Яким-небудь чином атрибут "SameSite" файлу cookie "ASP.NET_SessionId" за замовчуванням до "Lax", і це призводить до того, що cookie сеансу не додається до запиту, який зроблений кодом JavaScript шлюзу шлюзу платежів.
До файлу web.config ми додали наступне правило, щоб змінити це значення і встановити його на "Нічого".
<configuration>
<system.webServer>
<rewrite>
<outboundRules>
<rule name="Add SameSite" preCondition="No SameSite">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; SameSite=None" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No SameSite">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; SameSite=None" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
ОНОВЛЕННЯ 1 : Просто додавання вище конфігурації вирішило проблему для сучасних браузерів, але ми зрозуміли, що у нас все ще виникають проблеми зі старими версіями Micosoft Edge та Internet Explorer.
Тому нам потрібно було додати атрибут cookieSameSite = "None" до вузла sessionState у файлі web.config.
<sessionState cookieSameSite="None" />
Будьте обережні з цією зміною конфігурації, оскільки старі версії .net рамки не підтримують її, і ваш сайт відображає сторінку помилок.
До речі, у нас все ще виникають проблеми з браузерами в IOS 12. Але я думаю, що це пов’язано з цією підтвердженою помилкою
ОНОВЛЕННЯ 2 : див. Відповідь zemien для можливого виправлення проблеми з IOS
ОНОВЛЕННЯ 3 : Поєднуючи наші висновки з пропозиціями у відповіді zemien, ми створили наступні правила перезапису. Ми використовували цю конфігурацію у виробництві. Але будьте обережні: він позначає всі файли cookie атрибутом "SameSite: None" для сумісних браузерів і виключає атрибут SameSite, якщо він існує, для несумісних браузерів. Це може здатися складним, але я намагався пояснити за допомогою рядків коментарів.
Це фінальна конфігурація, яку ми використовуємо у виробництві:
<configuration>
<system.webServer>
<rewrite>
<outboundRules>
<preConditions>
<!-- Browsers incompatible with SameSite=None -->
<preCondition name="IncompatibleWithSameSiteNone" logicalGrouping="MatchAny">
<add input="{HTTP_USER_AGENT}" pattern="(CPU iPhone OS 12)|(iPad; CPU OS 12)" />
<add input="{HTTP_USER_AGENT}" pattern="(Chrome/5)|(Chrome/6)" />
<add input="{HTTP_USER_AGENT}" pattern="( OS X 10_14).*(Version/).*((Safari)|(KHTML, like Gecko)$)" />
</preCondition>
<!-- Rest of the browsers are assumed to be compatible with SameSite=None -->
<preCondition name="CompatibleWithSameSiteNone" logicalGrouping="MatchAll">
<add input="{HTTP_USER_AGENT}" pattern="(CPU iPhone OS 12)|(iPad; CPU OS 12)" negate="true" />
<add input="{HTTP_USER_AGENT}" pattern="(Chrome/5)|(Chrome/6)" negate="true" />
<add input="{HTTP_USER_AGENT}" pattern="( OS X 10_14).*(Version/).*((Safari)|(KHTML, like Gecko)$)" negate="true" />
</preCondition>
</preConditions>
<!-- Rule 1: Remove SameSite part from cookie for incompatible browsers if exists -->
<rule name="Remove_SameSiteCookie_IfExists_ForLegacyBrowsers" preCondition="IncompatibleWithSameSiteNone">
<match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=.*)" />
<action type="Rewrite" value="{R:1}" />
</rule>
<!-- Rule 2: Override SameSite's value to None if exists, for compatible browsers -->
<rule name="Override_SameSiteCookie_IfExists_ForModernBrowsers" preCondition="CompatibleWithSameSiteNone">
<match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=.*)" />
<action type="Rewrite" value="{R:1}; SameSite=None" />
</rule>
<!-- Rule 3: Add SameSite attribute with the value None if it does not exists, for compatible browsers -->
<rule name="Add_SameSiteCookie_IfNotExists_ForModernBrowsers" preCondition="CompatibleWithSameSiteNone">
<match serverVariable="RESPONSE_Set-Cookie" pattern=".*"/>
<!-- Condition explanation: Cookie data contains some string value but does not contain SameSite attribute -->
<conditions logicalGrouping="MatchAll">
<add input="{R:0}" pattern="^(?!\s*$).+"/>
<add input="{R:0}" pattern="SameSite=.*" negate="true"/>
</conditions>
<action type="Rewrite" value="{R:0}; SameSite=None" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>