最近samesite=lax 自动添加到我的会话cookie 中!此属性只是添加到 sessionID:
"Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite=Lax**"
我的网站托管在 IIS 8.5、Windows 2012 R2 上,没有 WAF 或 UrlRewrite,我关闭了 AntiVirus (kasper)。
但在某些客户服务器上仍然存在同样的问题。
任何的想法?
编辑: 我发现这个:https : //support.microsoft.com/en-us/help/4524419/kb4524419
当 HttpCookie.SameSite 值为“无”时,ASP.NET 现在将发出 SameSite cookie 标头,以适应 Chrome 中 SameSite cookie 处理即将发生的变化。作为此更改的一部分,FormsAuth 和 SessionState cookie 也将使用 SameSite = 'Lax' 而不是先前的默认值 'None' 发出,尽管这些值可以在 web.config 中被覆盖。
如何在 web.config 中覆盖 SessionState 的相同站点 cookie?我添加了这一行,但它不适用于 SessionID cookie!
<httpCookies sameSite="Unspecified" />
编辑:我发现这个:https : //docs.microsoft.com/en-us/dotnet/api/system.web.configuration.sessionstatesection.cookiesamesite?view=netframework-4.8#System_Web_Configuration_SessionStateSection_CookieSameSite
通过 SessionState 标签的“cookieSameSite”属性为 stateserver 设置相同站点。