问题描述
我知道Symfony 3.2的维护时间不长,但是碰巧我的公司正在使用它。 现在,我们在认证方面遇到了问题。我们有可以(和已经)安装在多个站点上的窗口小部件,因此用户可以在那里登录。但是Symfony 3.2中的数据库和后端代码存储在我们的网站中。为了进行身份验证,我们使用标准的Symfony cookie,在我们的案例中是跨站点的。 但是,现在Google Chrome浏览器只能访问未标记为SameSite = None的跨域Cookie。因此,Chrome中的身份验证不再起作用。 我知道在Symfony 4.2中,我可以通过在security.yaml中设置安全性参数来解决此问题。但是在Symfony 3.2中它不起作用。 除了升级到Symfony 4以外,还有什么方法可以解决此问题?
解决方法
来自https://github.com/GoogleChromeLabs/samesite-examples/blob/master/php.md
从PHP 7.3.0开始
setcookie()
方法
在其选项中支持SameSite
属性,并将None
接受为
有效值。
// Set a same-site cookie for first-party contexts
setcookie('cookie1','value1',['samesite' => 'Lax']);
// Set a cross-site cookie for third-party contexts
setcookie('cookie2','value2',['samesite' => 'None','secure' => true]);
对于早期版本的PHP,您还可以设置
直接header()
:
// Set a same-site cookie for first-party contexts
header('Set-Cookie: cookie1=value1; SameSite=Lax',false);
// Set a cross-site cookie for third-party contexts
header('Set-Cookie: cookie2=value2; SameSite=None; Secure',false);
对于会话Cookie,您可以设置为session_set_cookie_params
方法。
PHP 7.3.0为相同站点引入了新属性。
if (PHP_VERSION_ID >= 70300) {
session_set_cookie_params([
'lifetime' => $cookie_timeout,'path' => '/','domain' => $cookie_domain,'secure' => $session_secure,'httponly' => $cookie_httponly,'samesite' => 'Lax'
]);
} else {
session_set_cookie_params(
$cookie_timeout,'/; samesite=Lax',$cookie_domain,$session_secure,$cookie_httponly
);
}
有些第三方软件包,例如delight-im/PHP-Cookie,在PHP 5.4.0+上支持SameSite
属性和None
值(自v3.2起)。