私たちのアプリケーションはクッキーを使用してユーザーのログインを記憶しています。私たちが行うすべての認証API呼び出しでは、ブラウザーはサーバー設定のHTTPonly CookieをAPIリクエストに添付して認証されます。この動作は、Mojaveのリリース後のSafariでは壊れているようです。
サファリによって実装されたクロスサイトCookieセキュリティとSameSite=None;Secure、Cookieの設定中に追加されたサーバーチームについて読みました。それでも、それでも動作しません。
Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None
実際に解決策を見つけた人々からのアドバイスやリンクを提供してください。
回答:
MacOS 10.14のSafariのバージョンとiOS 12のすべてのブラウザーはこのバグの影響を受けます。これは、たとえば最も制限的な設定など、SameSite=None誤ってとして扱われることを意味しSameSite=Strictます。
SameSite Cookieレシピのガイダンスを次のいずれかに公開しました。
SameSite=None; Secureしないブラウザーを考慮します。SameSite=Noneそれらのリクエストに対応しない。Rubyでコーディングされたアプリケーション(具体的には、Rails、Sinatra、またはRackの上にあるもの)の場合、RailsSameSiteCookie gemはこれと関連する問題を非常にうまく解決します。このコードは、Chromiumのディスカッションでの疑似コードの近似変換のように、もろい正規表現を使わずに読み取れます。