问题描述
从Payment Gateway站点重定向后,Web应用程序会话变为空。仅在Google Chrome浏览器中会发生此问题。在Mozila,IE可以正常工作。
我们正在使用.net MVC。
解决方法
这个新概念已被攻击者保存下来。因此,这里是允许/限制sameSite的cookie的选项。
此问题出现在2020年的Chrome 80或更高版本上,并引入了新的cookie值和cookie策略。可以将三个值传递到更新的SameSite属性中:Strict,Lax或None。如果您未在SameSite中指定<httpCookies>属性,那么它将默认为SameSite=Lax。
现在,Lax适用于同一站点。如果您使用跨网站或iframe(也被视为跨网站),则需要使用none。而且,如果您想限制Cookie,则需要使用Strict。
示例:
- 对于
http或https,您需要执行以下步骤-
<httpCookies domain="xyz.com" requireSSL="true" sameSite="None" />
您可以对<SessionState>使用某些属性
<sessionState allowCustomSqlDatabase="true" cookieSameSite="None" sqlConnectionString="Data Source=serverName; Initial Catalog=databaseName;
User ID=userid;Password=pass;" timeout="55"/>
要进行本地访问,您需要执行以下步骤-
- 在Chrome chrome://flags/#same-site-by-default-cookies上启动此URL
- 您会看到“默认情况下,SameSite Cookies”默认情况下被标记为
Default,状态更改为Disabled - 单击重新启动按钮进入浏览器。
- 制作
requireSSL="false"(在本地系统上)
Iframe的一种特殊情况。如果您使用Iframe在应用程序中加载其他应用程序。然后您的会话将在Chrome的私有(隐身)窗口中null。
对于这种特殊情况,我有一个解决方案。您需要使用cookieless="true" in ```。仅当您在应用程序中不使用Cookie时。
供您参考:
https://docs.microsoft.com/en-us/aspnet/samesite/system-web-samesite
https://docs.microsoft.com/en-us/microsoftteams/platform/resources/samesite-cookie-update https://docs.microsoft.com/en-us/office365/troubleshoot/miscellaneous/chrome-behavior-affects-applications