उसी तरह से मेरे Asp.net_SessionID कुकी को स्वचालित रूप से कैसे जोड़ा जाता है?

हाल ही में samesite = lax अपने सत्र कुकी के लिए स्वचालित रूप से जोड़ें! यह विशेषता सिर्फ sessionID में जोड़ें: "Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite=Lax**"

मेरी वेबसाइट आईआईएस 8.5, विंडोज 2012 आर 2 पर होस्ट की गई है, और न ही WAF या UrlRewrite है और मैं एंटी वायरस (कैस्पर) बंद कर देता हूं।

लेकिन अभी तक कुछ ग्राहक सर्वरों पर समान समस्या है।

कोई उपाय?

संपादित करें: मुझे यह पता है: https://support.microsoft.com/en-us/help/4524419/kb4524419

ASP.NET अब एक हीसाइट कुकी हेडर का उत्सर्जन करेगा जब HttpCookie.SameSite मूल्य क्रोम में समीसाइट कुकी हैंडलिंग के आगामी परिवर्तनों को समायोजित करने के लिए 'कोई नहीं' है। इस परिवर्तन के भाग के रूप में, FormsAuth और SessionState कुकीज़ को 'कोई नहीं ’के पिछले डिफ़ॉल्ट के बजाय SameSite =' Lax’ के साथ भी जारी किया जाएगा, हालाँकि ये मान web.config में ओवरराइड किए जा सकते हैं।

मैं web.config में SessionState के लिए samesite कुकीज़ को कैसे ओवरराइड कर सकता हूं? मैं इस लाइन को जोड़ता हूं, लेकिन यह SessionID कुकी पर काम नहीं करता है! <httpCookies sameSite="Unspecified" />

EDITED: मुझे यह पता है: https://docs.microsoft.com/en-us/dotnet/api/system.web.configuration.sessionstatesection.cookiesamesite?view=netframework-4.8#SS_Web_Configuration_SessionStateSection_CookieSameSite

SessionState टैग की "कुकीसमीसाइट" विशेषता के द्वारा राजनेता के लिए सेटमेसिट सेट करें।

इन विकल्पों को web.config के लिए समान में जोड़ें = कोई नहीं, लैक या स्ट्रिक्ट

<system.web>
    <httpCookies sameSite="None"/>
    <sessionState cookieSameSite="None" />
    <authentication mode="Forms">
        <forms cookieSameSite="None" />
    </authentication>

मैं फिर से उपयोग नहीं कर सकता, क्योंकि UrlRewrite मेरे सभी ग्राहकों के सर्वर पर स्थापित नहीं है।

अंत में मैं अपने web.config में कुकी जोड़ें।

<sessionState mode="StateServer" cookieSameSite="None" sqlConnectionString="data source=(local);user id=sa;password=" cookieless="false" timeout="20" />

CookieSameSite विशेषता कई पुराने फ्रेमवर्क के लिए उपलब्ध नहीं है। यदि आप उस स्थिति में हैं जहाँ स्वीकृत उत्तर आपके वातावरण में समर्थित नहीं है, तो पढ़ें!

मैंने इस URL को फिर से लिखने के लिए कई SO उत्तरों को संशोधित किया है जो SameSite=Noneसत्र कुकीज़ को जोड़ता है, और अधिकांश असंगत ब्राउज़रों के लिए सभी कुकीज़ SameSite=Noneसे हटा भी देता है। इस पुनर्लेखन का उद्देश्य "विरासत" व्यवहार प्री-क्रोम 80 को संरक्षित करना है।

मेरे कोडर फ्रंटलाइन ब्लॉग में पूरा लेखन :

<rewrite>
  <outboundRules>
    <preConditions>
      <!-- Checks User Agent to identify browsers incompatible with SameSite=None -->
      <preCondition name="IncompatibleWithSameSiteNone" logicalGrouping="MatchAny">
        <add input="{HTTP_USER_AGENT}" pattern="(CPU iPhone OS 12)|(iPad; CPU OS 12)" />
        <add input="{HTTP_USER_AGENT}" pattern="(Chrome/5)|(Chrome/6)" />
        <add input="{HTTP_USER_AGENT}" pattern="( OS X 10_14).*(Version/).*((Safari)|(KHTML, like Gecko)$)" />
      </preCondition>
    </preConditions>

    <!-- Adds or changes SameSite to None for the session cookie -->
    <!-- Note that secure header is also required by Chrome and should not be added here -->
    <rule name="SessionCookieAddNoneHeader">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*ASP.NET_SessionId.*)" />
      <!-- Use this regex if your OS/framework/app adds SameSite=Lax automatically to the end of the cookie -->
      <!-- <match serverVariable="RESPONSE_Set-Cookie" pattern="((.*)(ASP.NET_SessionId)(=.*))(?=SameSite)" /> -->
      <action type="Rewrite" value="{R:1}; SameSite=None" />
    </rule>

    <!-- Removes SameSite=None header from all cookies, for most incompatible browsers -->
    <rule name="CookieRemoveSameSiteNone" preCondition="IncompatibleWithSameSiteNone">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=None)" />
      <action type="Rewrite" value="{R:1}" />
    </rule>
  </outboundRules>
</rewrite>

यह अधिकांश ASP .Net और ASP। नेट कोर अनुप्रयोगों के लिए काम करना चाहिए, हालाँकि नए फ्रेमवर्क में उचित कोड और कॉन्फिगर विकल्प हैं जिससे आप इस व्यवहार को नियंत्रित कर सकते हैं। मैं ऊपर मेरे पुनर्लेखन का उपयोग करने से पहले आपके लिए उपलब्ध सभी विकल्पों पर शोध करने की सलाह दूंगा।

अंतिम अद्यतन: ज़ेमिएन का उत्तर मेरे से अधिक व्यापक और पूर्ण है। क्योंकि यह उपयोगकर्ता एजेंट के आधार पर कुकी सेट करता है।

मेरा जवाब:

आप SameSite = Lax को SameSite से बदल सकते हैं = कोई भी ASP.NET_SessionId के लिए web.config में निम्न तरीके से नहीं कर सकता है:

<rewrite>
  <outboundRules>
    <rule name="AddSameSiteCookieFlag">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="((.*)(ASP.NET_SessionId)(=.*))(SameSite=Lax)" />
      <action type="Rewrite" value="{R:1};SameSite=None" />
    </rule>
  </outboundRules>
</rewrite>

अद्यतन: IOS समस्या को रोकने के लिए , प्रतिस्थापित करें

<action type="Rewrite" value="{R:1};SameSite=None" />

साथ में

<action type="Rewrite" value="{R:1};" />

@zemien आपके समाधान ने हमारे Google क्रोम मुद्दों को सही ढंग से हल किया

हमारे पास एक एकीकरण है जहां हमारा आवेदन एक तृतीय पक्ष पर एक iframe में एम्बेडेड है। क्रोम संस्करण 80 जारी फ़रवरी 4 2020 ने कुकीज़ को लोड होने से रोका।

हालाँकि मुझे सभी कुकीज़ को कैप्चर करने के लिए पैटर्न को संशोधित करना था, सुरक्षित ध्वज जोड़ना था, और हमारे स्थानीय गैर https वातावरण के लिए लोकलहोस्ट पर पुनर्लेखन को लागू नहीं करने के लिए शर्त

<rule name="SessionCookieAddNoneHeader">
      <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=.*)?" />
      <conditions logicalGrouping="MatchAll" trackAllCaptures="false">
        <add input="{HTTP_HOST}" pattern="localhost" negate="true" />
      </conditions>
      <action type="Rewrite" value="{R:1}; SameSite=None; Secure" />
</rule>

मेरे लिये कार्य करता है। मेरी web.config फ़ाइल में जोड़ा गया:

<sessionState cookieSameSite="None"></sessionState>

.Net फ्रेमवर्क 4.8 + इंस्टॉलेशन पैच पर अपग्रेड करें: .NET फ्रेमवर्क के लिए 2019-12 संचयी अद्यतन x64 के लिए विंडोज 10 संस्करण 1909 के लिए 3.5 और 4.8 (KB4533002)