問題タブ [samesite]

ユーザーのセッションの開始時に、XSRF/CSRF 用に設定された Cookie があります。ある時点で、ユーザーは別のドメイン (支払いなど) に移動し、いくつかのアクションを実行して、ドメインに移動します。私たちのドメインに戻ると、Firefox と Safari は同じサイトとして設定された Cookie を読み取ることができません: Strict、Chrome はできます。Chrome と Firefox (ただし Safari ではない) の場合、Cookie の開発者ツール セクションに表示されます。

MDNの同じサイトの説明では、将来のリクエスト時に Cookie がリクエスト ヘッダーで送信されることを説明しています。これは、3 つのブラウザすべてに当てはまります。説明が決定的でないのは、document.cookie を介してこの Cookie を読み取ることができるかどうかです。Firefox、Safari、および Chrome では「Lax」Cookie を読み取ることができますが、「Strict」Cookie を読み取ることができるのは Chrome のみです。これは、ページの更新時にも当てはまりますが、新しいタブを開いたとき (つまり、ナビゲーションのみ) には当てはまりません。

これは Safari と Firefox のバグですか、それとも Chrome のバグですか? それとも仕様が決定的でないのでしょうか? 仕様 (w3?) はどうなりますか?

test.internalsite.comこれは、2 つの vhostsとを備えた Web サーバーとtest.externalsite.com、いくつかの PHP を使用したこれらのページを使用して、ローカルで簡単に再作成できます。

と

Cookie が samesite strict で設定されている場合、JavaScript を使用して Cookie を取得して別のユーザーに送信するなど、JavaScript を使用して別のサイトに送信することは可能ですか?

Cookie RequestVerificationToken_Lwを生成する cshtml ページに偽造防止トークン (@Html.AntiForgeryToken()) があります 。この Cookie の属性値は、HTTP および Secure です。しかし、SameSite も設定する必要があります。どうすればこれを達成できますか?

subdomain1.example.comからsubdomain2.example.comにajax リクエストを送信すると、SameSite=lax または SameSite=strict 属性があっても、subdomain2 の Cookie が含まれることに気付きました。これは、SameSite 属性が存在する場合に Cookie を含まない無関係なドメイン (たとえば、example1.com -> example2.com ) にわたる要求とは異なります。

どちらの場合も、ドメイン属性が設定されていない Set-Cookie ヘッダーを使用して、サーバー側で Cookie を作成しています。そのような場合の私の理解では、Cookie はクライアントのドメインに関連付けられています。ただし、兄弟ドメインは単一のドメインとして扱われるようです。

私の診断は、クロムプロジェクトのこのテストによって確認されたようです:

https://github.com/chromium/chromium/blob/master/net/base/registry_managed_domains/registry_managed_domain_unittest.cc

そのような動作は意図的なものですか、それとも私のテストに欠陥がありますか? 兄弟ドメインの Cookie 分離を実現することは可能ですか? または、そのような要件がある場合は、ドメインを無関係にする必要がありますか?