SameSite ve Firefoxu a PHPSESSID
- HFechs
- Člen | 5
Zdravím,
nejsem na SameSite cookies žádný odborník, vím, že to Nette používá kvůli ochraně CSRF, ale ve Firefoxu jsem si v konzoli u snad aktuálního Nette (nette/application v3.0.5) všiml téhle hlášky (warning):
Cookie „PHPSESSID“ bude brzy blokována, protože obsahuje atribut „sameSite“ s neplatnou hodnotou nebo hodnotou „none“, která není bez bez atributu „secure“ povolená. Podrobnosti o atributu „sameSite“ najdete na https://developer.mozilla.org/…kie/SameSite
Vím, že se SameSite u Session cookie z nějakého důvodu vypíná, je to udělané dobře? Ať časem nevypadne ve Firefoxu přihlašování. Přece jen ještě celý svět nepoužívá Chrome (to si nestěžuje). Případně jestli nemám něco blbě v config.neon/php.ini (mimo vypnutí samesites cookies), ale k cookies žádné speciální nastavení nemám.
PS: pokud jsem měl hodit dotaz někam jinam, díky za nasměrování, moc se tu netážu.
- David Grudl
- Nette Core | 8227
U všech moderních prohlížečů by měla časem nastat situace, že cookies bez atributu sameSite budou považovány za sameSite: lax, to se snaží IMHO ta hláška říct, i když ve skutečnosti sděluje samozřejmě něco úplně jiného.
Nenastavovat sameSite u session id se mi zdá v tuto chvíli jako nejlepší řešení kvůli různým chybám v různých prohlížečích.