Пример файла cookie SameSite для ASP.NET 4.7.2 VB WebForms

платформа .NET Framework 4.7 имеет встроенную поддержку атрибута SameSite, но соответствует исходному стандарту. Исправленное поведение изменило значение SameSite.None , чтобы выдавать атрибут со значением None, а не вообще не выдавать значение. Если вы хотите не выдавать значение , можно задать SameSite для свойства файла cookie значение -1.

Запись атрибута SameSite

Ниже приведен пример записи атрибута SameSite в файл cookie.

' Create the cookie
Dim sameSiteCookie As New HttpCookie("sameSiteSample")

' Set a value for the cookie
sameSiteCookie.Value = "sample"

' Set the secure flag, which Chrome's changes will require for SameSite none.
' Note this will also require you to be running on HTTPS
sameSiteCookie.Secure = True

' Set the cookie to HTTP only which is good practice unless you really do need
' to access it client side in scripts.
sameSiteCookie.HttpOnly = True

' Expire the cookie in 1 minute
sameSiteCookie.Expires = Date.Now.AddMinutes(1)

' Add the SameSite attribute, this will emit the attribute with a value of none.
' To Not emit the attribute at all set the SameSite property to -1.
sameSiteCookie.SameSite = SameSiteMode.None

' Add the cookie to the response cookie collection
Response.Cookies.Add(sameSiteCookie)

Если вы читаете это на языке, отличном от английского, сообщите нам об этом в этой проблеме обсуждения GitHub , если вы хотите видеть комментарии к коду на своем родном языке.

Атрибут sameSite по умолчанию для файла cookie проверки подлинности на основе форм задается в cookieSameSite параметре параметров проверки подлинности на основе форм в web.config

<system.web>
  <authentication mode="Forms">
    <forms name=".ASPXAUTH" loginUrl="~/" cookieSameSite="None" requireSSL="true">
    </forms>
  </authentication>
</system.web>

Атрибут sameSite по умолчанию для состояния сеанса также задается в параметре cookieSameSite параметров сеанса в web.config

<system.web>
  <sessionState cookieSameSite="None">     
  </sessionState>
</system.web>

Обновление за ноябрь 2019 г. для .NET изменило параметры по умолчанию для проверки подлинности с помощью форм и сеанса на lax наиболее совместимый параметр, однако если вы внедряете страницы в iframes, может потребоваться отменить изменения этот параметр на Нет, а затем добавить код перехвата, показанный ниже, чтобы настроить none поведение в зависимости от возможностей браузера.

Выполнение примера

При запуске примера проекта загрузите отладчик браузера на начальную страницу и используйте его для просмотра коллекции файлов cookie для сайта. Для этого в Edge и Chrome нажмите вкладку F12Application и щелкните URL-адрес сайта под параметром CookiesStorage в разделе .

На изображении выше видно, что файл cookie, созданный примером, при нажатии кнопки "Создать файлы cookie" имеет значение атрибута SameSite , соответствующее Laxзначению, заданному в примере кода.

Перехват файлов cookie, которые вы не контролируете

В .NET 4.5.2 появилось новое событие для перехвата записи заголовков. Response.AddOnSendingHeaders Это можно использовать для перехвата файлов cookie перед их возвратом на клиентский компьютер. В примере мы связаем событие со статическим методом, который проверяет, поддерживает ли браузер новые изменения sameSite, и, если нет, изменяет файлы cookie, чтобы не выдавать атрибут, если новое None значение было задано.

Пример подключения события см . в файле global.asax , а в файле SameSiteCookieRewriter.cs — пример обработки события и настройки атрибута cookie sameSite .

Sub FilterSameSiteNoneForIncompatibleUserAgents(ByVal sender As Object)
    Dim application As HttpApplication = TryCast(sender, HttpApplication)

    If application IsNot Nothing Then
        Dim userAgent = application.Context.Request.UserAgent

        If SameSite.DisallowsSameSiteNone(userAgent) Then
            application.Response.AddOnSendingHeaders(
                Function(context)
                    Dim cookies = context.Response.Cookies

                    For i = 0 To cookies.Count - 1
                        Dim cookie = cookies(i)

                        If cookie.SameSite = SameSiteMode.None Then
                            cookie.SameSite = CType((-1), SameSiteMode)
                        End If
                    Next
                End Function)
        End If
    End If
End Sub

Вы можете изменить определенное поведение именованных файлов cookie практически таким же образом; Приведенный ниже пример настраивает файл cookie проверки подлинности по умолчанию с Lax на None в браузерах, поддерживающих None значение , или удаляет атрибут sameSite в браузерах, которые не поддерживают None.

Public Shared Sub AdjustSpecificCookieSettings()
    HttpContext.Current.Response.AddOnSendingHeaders(Function(context)
            Dim cookies = context.Response.Cookies

            For i = 0 To cookies.Count - 1
            Dim cookie = cookies(i)

            If String.Equals(".ASPXAUTH", cookie.Name, StringComparison.Ordinal) Then

                If SameSite.BrowserDetection.DisallowsSameSiteNone(userAgent) Then
                    cookie.SameSite = -1
                Else
                    cookie.SameSite = SameSiteMode.None
                End If

                cookie.Secure = True
            End If
            Next
        End Function)
End Sub

Дополнительные сведения

Обновления Chrome

Документация по ASP.NET

Исправления .NET SameSite