问题描述
我试图根据浏览器为我的ASP.NET_SessionId-cookie设置标志SameSite,因为某些版本的Safari不支持SameSite=none。如果我在对新用户进行身份验证之前在现有会话上进行Session.Abandon(),这对我不起作用,因为如果我在Response.Cookies["ASP.NET_SessionId"]中触摸Session_Start()的值,则该值为空。 这是为什么?
身份验证在IIS中的Shibboleth处理程序中在ASP.NET外部进行。因此,一旦请求进入应用程序,便会对其进行身份验证并创建会话并将其用于用户。
场景:
1:用户登录到站点(IIS中的Shibboleth-auth),并且名为Session_Start()
protected void Session_Start(object sender,EventArgs e)
{
var cookie = Response.Cookies["ASP.NET_SessionId"];
if (cookie != null)
{
cookie.SameSite = SameSiteHelper.GetAspNetSessionIdMode(Request.UserAgent);
}
}
Response.Cookies["ASP.NET_SessionId"]将具有一个新创建的SessionId的值,该cookie将正确设置SameSite。
2:用户注销站点,我执行Session.Abandon()清除会话数据并将用户定向到Shibboleth-logout-endpoint。
3:新用户使用仍然具有ASP.NET-SessionId cookie(很好)的同一浏览器,并通过Shibboleth登录,并再次调用Session_Start()。这次,即使Response.Cookies [“ ASP.NET_SessionId”]被浏览器传递并存在于Request.Cookies["ASP.NET_SessionId"]中,它也将为空-为什么?
.... 3a:如果我没有用Session_Start()中的代码触摸cookie,那么当响应返回到浏览器时,响应cookie将在其中带有正确的session-Id。 (当无法在Session_Start()中访问它时,该设置在哪里?)
.... 3b:如果我触摸空的响应cookie并使用上面的代码设置SameSite,那么当响应返回浏览器时,响应cookie就在那里了,但是没有值。 >
我可以通过将值从request-cookie传输到response-cookie来解决此问题,如下所示。但是,肯定感觉像是黑客。
protected void Session_Start(object sender,EventArgs e)
{
var cookie = Response.Cookies["ASP.NET_SessionId"];
if (cookie != null)
{
var requestCookie = Request.Cookies["ASP.NET_SessionId"];
cookie.SameSite = SameSiteHelper.GetAspNetSessionIdMode(Request.UserAgent);
if (cookie.Value != null)
{
cookie.Value = requestCookie.Value;
cookie.Path = requestCookie.Path;
cookie.Secure = requestCookie.Secure;
cookie.HttpOnly = requestCookie.HttpOnly;
cookie.Domain = requestCookie.Domain;
cookie.Expires = requestCookie.Expires;
}
}
}
我可以在比Session_Start()更适合的地方做这种逻辑吗?我在这里想念什么?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)