Блог

Главная - Вопросы по программированию - Symfony 3.2, аутентификация и межсайтовые файлы cookie

Symfony 3.2, аутентификация и межсайтовые файлы cookie

#symfony #cookies #symfony-3.2

#symfony #файлы cookie #symfony-3.2

Вопрос:

Я знаю, что Symfony 3.2 не поддерживается в течение очень долгого времени, но случается, что моя компания использует его. И теперь у нас проблема с аутентификацией. У нас есть виджет, который может быть (и есть) установлен на нескольких сайтах, поэтому пользователь может войти туда. Но база данных и внутренний код в Symfony 3.2 хранятся на нашем сайте. Для аутентификации мы используем стандартные файлы cookie Symfony, которые в нашем случае являются межсайтовыми. Но теперь в Google Chrome ограничен доступ к междоменным куки-файлам, которые не помечены как SameSite = None. Таким образом, аутентификация в Chrome больше не работает. Я знаю, что в Symfony 4.2 я могу решить эту проблему, установив параметр безопасности в security.yaml. Но в Symfony 3.2 это не работает. Есть ли какой-либо способ решить эту проблему, кроме обновления до Symfony 4?

Ответ №1:

Отhttps://github.com/GoogleChromeLabs/samesite-examples/blob/master/php.md

Начиная с версии PHP 7.3.0, setcookie() метод поддерживает SameSite атрибут в своих параметрах и будет принимать None как допустимое значение.

 // Set a same-site cookie for first-party contexts
setcookie('cookie1', 'value1', ['samesite' => 'Lax']);
// Set a cross-site cookie for third-party contexts
setcookie('cookie2', 'value2', ['samesite' => 'None', 'secure' => true]);

Для более ранних версий PHP вы также можете установить
header() напрямую:

 // Set a same-site cookie for first-party contexts
header('Set-Cookie: cookie1=value1; SameSite=Lax', false);
// Set a cross-site cookie for third-party contexts
header('Set-Cookie: cookie2=value2; SameSite=None; Secure', false);

Для сеансовых куки-файлов вы можете задать session_set_cookie_params метод.
PHP 7.3.0 представил новые атрибуты для samesite.

 if (PHP_VERSION_ID >= 70300) { 
session_set_cookie_params([
    'lifetime' => $cookie_timeout,
    'path' => '/',
    'domain' => $cookie_domain,
    'secure' => $session_secure,
    'httponly' => $cookie_httponly,
    'samesite' => 'Lax'
]);
} else { 
session_set_cookie_params(
    $cookie_timeout,
    '/; samesite=Lax',
    $cookie_domain,
    $session_secure,
    $cookie_httponly
);
}

Существуют сторонние пакеты, такие как delight-im/PHP-Cookie, которые поддерживают SameSite атрибут и None значение (начиная с версии v3.2) на PHP 5.4.0 .