ASP.NET 4.7.2 C# MVC 的 SameSite Cookie 範例
.NET Framework 4.7 具有SameSite屬性的內建支援,但會遵守原始標準。
修補的行為已變更 SameSite.None
的意義,以使用 的值 None
發出 屬性,而不是完全不發出值。 如果您想要不要發出值,您可以將 Cookie 上的 屬性設定 SameSite
為 -1。
撰寫 SameSite 屬性
以下是如何在 Cookie 上撰寫 SameSite 屬性的範例;
// Create the cookie
HttpCookie sameSiteCookie = new HttpCookie("SameSiteSample");
// Set a value for the cookieSite none.
// Note this will also require you to be running on HTTPS
sameSiteCookie.Value = "sample";
// Set the secure flag, which Chrome's changes will require for Same
sameSiteCookie.Secure = true;
// Set the cookie to HTTP only which is good practice unless you really do need
// to access it client side in scripts.
sameSiteCookie.HttpOnly = true;
// Add the SameSite attribute, this will emit the attribute with a value of none.
// To not emit the attribute at all set the SameSite property to -1.
sameSiteCookie.SameSite = SameSiteMode.None;
// Add the cookie to the response cookie collection
Response.Cookies.Add(sameSiteCookie);
如果您要以英文以外的語言閱讀,如果您想要以原生語言查看程式碼批註,請在此 GitHub 討論問題 中告訴我們。
會話狀態的預設 sameSite 屬性是在 會話設定的 'cookieSameSite' 參數中設定 web.config
<system.web>
<sessionState cookieSameSite="None">
</sessionState>
</system.web>
MVC 驗證
OWIN MVC Cookie 型驗證會使用 Cookie 管理員來啟用 Cookie 屬性的變更。 SameSiteCookieManager.cs是這類類別的實作,您可以複製到自己的專案中。
您必須確定您的 Microsoft.Owin 元件都已升級至 4.1.0 版或更新版本。 請檢查您的 packages.config
檔案,以確保所有版本號碼都相符,例如。
<?xml version="1.0" encoding="utf-8"?>
<packages>
<!-- other packages -->
<package id="Microsoft.Owin.Host.SystemWeb" version="4.1.0" targetFramework="net472" />
<package id="Microsoft.Owin.Security" version="4.1.0" targetFramework="net472" />
<package id="Microsoft.Owin.Security.Cookies" version="4.1.0" targetFramework="net472" />
<package id="Microsoft.Web.Infrastructure" version="1.0.0.0" targetFramework="net472" />
<package id="Owin" version="1.0" targetFramework="net472" />
</packages>
然後,驗證元件必須設定為在啟動類別中使用 CookieManager;
public void Configuration(IAppBuilder app)
{
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
CookieSameSite = SameSiteMode.None,
CookieHttpOnly = true,
CookieSecure = CookieSecureOption.Always,
CookieManager = new SameSiteCookieManager(new SystemWebCookieManager())
});
}
每個支援 Cookie 的元件都必須 設定 Cookie 管理員,這包括 CookieAuthentication 和 OpenIdConnectAuthentication。
SystemWebCookieManager 可用來避免回應 Cookie 整合的 已知問題 。
執行範例
如果您執行範例專案會在初始頁面上載入瀏覽器偵錯工具,並用它來檢視網站的 Cookie 集合。
若要在 Edge 和 Chrome 中這麼做,請按 F12
下 Application
索引標籤,然後按一下區段中選項 Storage
底下的 Cookies
網站 URL。
您可以從上圖中看到,當您按一下 [建立 Cookie] 按鈕時,範例所建立的 Cookie 具有 的 SameSite 屬性值 Lax
,符合 範例程式碼中所設定的值。
攔截您不控制的 Cookie
.NET 4.5.2 引進了新的事件來攔截標頭的寫入。 Response.AddOnSendingHeaders
這可用來在 Cookie 傳回至用戶端電腦之前攔截 Cookie。 在範例中,我們會將 事件連線到靜態方法,以檢查瀏覽器是否支援新的 sameSite 變更,如果不是,則會在設定新 None
值時,將 Cookie 變更為不要發出屬性。
如需連結事件和SameSiteCookieRewriter.cs的範例,請參閱global.asax,以取得處理事件的範例,以及調整您可以複製到您自己的程式碼的 Cookie sameSite
屬性。
public static void FilterSameSiteNoneForIncompatibleUserAgents(object sender)
{
HttpApplication application = sender as HttpApplication;
if (application != null)
{
var userAgent = application.Context.Request.UserAgent;
if (SameSite.BrowserDetection.DisallowsSameSiteNone(userAgent))
{
HttpContext.Current.Response.AddOnSendingHeaders(context =>
{
var cookies = context.Response.Cookies;
for (var i = 0; i < cookies.Count; i++)
{
var cookie = cookies[i];
if (cookie.SameSite == SameSiteMode.None)
{
cookie.SameSite = (SameSiteMode)(-1); // Unspecified
}
}
});
}
}
}
您可以用非常相同的方式變更特定的具名 Cookie 行為;下列範例會將支援 值的瀏覽器 None
上的預設驗證 Cookie 從 Lax
調整為 None
,或移除不支援 None
的瀏覽器上的 sameSite 屬性。
public static void AdjustSpecificCookieSettings()
{
HttpContext.Current.Response.AddOnSendingHeaders(context =>
{
var cookies = context.Response.Cookies;
for (var i = 0; i < cookies.Count; i++)
{
var cookie = cookies[i];
// Forms auth: ".ASPXAUTH"
// Session: "ASP.NET_SessionId"
if (string.Equals(".ASPXAUTH", cookie.Name, StringComparison.Ordinal))
{
if (SameSite.BrowserDetection.DisallowsSameSiteNone(userAgent))
{
cookie.SameSite = -1;
}
else
{
cookie.SameSite = SameSiteMode.None;
}
cookie.Secure = true;
}
}
});
}
相關資訊
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應