SameSite属性を 'None;に設定する方法。 Rails3.1.12とRuby1.9.3でセキュア
https://example.com/ のクロスサイトリソースに関連付けられたCookieが、SameSite属性なしで設定されました。 ChromeがSameSite=NoneおよびSecureで設定されている場合、クロスサイトリクエストでのみCookieを配信するようになりました。開発者ツールでCookieを確認できます。 Application> Storage> Cookiesの下にあり、 https://www.chromestatus.com/feature/5088147346030592 および https://www.chromestatus.com/feature/5633521622188032 .
SameSite Cookie属性の設定方法を教えてください。前もって感謝します。
ラックの修正のバックポートがここに寄贈されました。
https://github.com/rack/rack/pull/1547
リリースされないため、Gemfileでラックのフォークを使用する必要がある可能性があります。
私がしたことは次のとおりです:session_store.rb構成しました:
MyApp::Application.config.session_store :cache_store, key: COOKIE_NAME, :expire_after => 1.days, :expires_in => 1.days, :domain => 'mydomain.com', same_site: :none
そして、私はこのサルのパッチを追加しました:
require 'rack/utils'
module Rack
module Utils
def self.set_cookie_header!(header, key, value)
case value
when Hash
domain = "; domain=" + value[:domain] if value[:domain]
path = "; path=" + value[:path] if value[:path]
max_age = "; max-age=" + value[:max_age] if value[:max_age]
expires = "; expires=" +
rfc2822(value[:expires].clone.gmtime) if value[:expires]
# Make it always secure, even in HTTP
# secure = "; secure" if value[:secure]
secure = "; secure"
httponly = "; HttpOnly" if value[:httponly]
same_site =
case value[:same_site]
when false, nil
nil
when :none, 'None', :None
'; SameSite=None'
when :lax, 'Lax', :Lax
'; SameSite=Lax'
when true, :strict, 'Strict', :Strict
'; SameSite=Strict'
else
raise ArgumentError, "Invalid SameSite value: #{value[:same_site].inspect}"
end
value = value[:value]
end
value = [value] unless Array === value
cookie = escape(key) + "=" +
value.map { |v| escape v }.join("&") +
"#{domain}#{path}#{max_age}#{expires}#{secure}#{httponly}#{same_site}"
case header["Set-Cookie"]
when nil, ''
header["Set-Cookie"] = cookie
when String
header["Set-Cookie"] = [header["Set-Cookie"], cookie].join("\n")
when Array
header["Set-Cookie"] = (header["Set-Cookie"] + [cookie]).join("\n")
end
nil
end
end
end