Safari sendet auch nach dem Setzen von SameSite = None kein Cookie; Sichern

Unsere Anwendung verwendet Cookies, um sich an die Benutzeranmeldung zu erinnern. Bei jedem Authentifizierungs-API-Aufruf, den wir ausführen, hängt der Browser ein vom Server festgelegtes HTTPonly-Cookie an die API-Anforderung an und wird authentifiziert. Dieses Verhalten scheint in der Safari nach der Veröffentlichung von Mojave gebrochen zu sein.

Ich habe über die Cross-Site-Cookie-Sicherheit gelesen, die von Safari implementiert wurde, und unser Serverteam hat SameSite=None;Securebeim Setzen des Cookies hinzugefügt . Auch danach funktioniert es immer noch nicht.

Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None

Bitte beraten oder geben Sie Links von Personen an, die tatsächlich eine Lösung gefunden haben.

Versionen von Safari unter MacOS 10.14 und alle Browser unter iOS 12 sind von diesem Fehler betroffen, was bedeutet, dass er SameSite=Nonefälschlicherweise als SameSite=Strictz. B. die restriktivste Einstellung behandelt wird.

Ich habe einige Anleitungen in SameSite-Cookie-Rezepten zu folgenden Themen veröffentlicht:

• Verwenden von zwei Cookiesätzen, um Browser zu berücksichtigen, die dies unterstützen, SameSite=None; Secureund solche, die dies nicht tun.
• Sniffing des Benutzeragenten für inkompatible Browser und nicht SameSite=Nonefür diese Anforderungen dienen.

Für Anwendungen, die in Ruby codiert sind (insbesondere Rails, Sinatra oder irgendetwas auf Rack), löst das Juwel RailsSameSiteCookie dieses und verwandte Probleme recht gut. Der Code liest sich wie eine nahe Übersetzung des Pseudocodes in der Chromium-Diskussion ohne die spröden regulären Ausdrücke.