Блог

Я установил SameSite = Lax для файлов cookie, используя правило заголовка конфигурации apache ( Header edit Set-Cookie ^(.*)$ "$1;SameSite=Lax" ) в моем приложении (xyz.example.com ), который подбирается и настраивается соответствующим образом браузерами. Однако при выполнении междоменного запроса GET на cdn из iframe (местоположение iframe — cdn.example.com ) в приложении файлы cookie, установленные с помощью domain=.example.com и с установленным значением SameSite =Lax не отправляются в cdn в Safari 13.1.2, но отправляются для других браузеров (Chrome, Firefox). При отправке из iframe ресурсы, которые отвечают 403 (из-за отсутствия файлов cookie), имеют URL, аналогичный cdn.example.com/secure/rss/content.css .

Более того, когда я устанавливаю для атрибута SameSite значение None с флагом Secure с помощью конфигурации apache, файлы cookie отправляются нормально с версии Safari 13.1.2.

Основываясь на моем поиске в Google, это явно не имеет никакого отношения к ошибке WebKit, которая повлияла на атрибут Samesite со значением None или что-то недопустимое для интерпретации как строгое (хотя в моем случае Safari, похоже, рассматривает эти файлы cookie, которые должны быть установлены с помощью SameSite = Strict) Safari —https://bugs .webkit.org/show_bug.cgi?id=198181 . Версия Safari 13.1.2 по-прежнему имеет эту проблему при проверке с помощьюhttps://samesite-sandbox.glitch.me /

Помимо разницы в поведении для SameSite = None в Safari и отключения «Запретить отслеживание между сайтами», я не смог найти какой-либо четкой причины такого отклонения в поведении для SameSite =Lax в Safari.