アカウント名:
パスワード:
サードパーティーCookieどころか、外部のサイトからPOSTで戻ってくる場合にも自サイトで発行したCookieが送信されなくなるので、3Dセキュアとか決済代行サイトからPOSTで戻ってくるケースで問題になってるhttps://www.ec-cube.net/news/detail.php?news_id=352 [ec-cube.net]
ちょっとこの仕様はさすがにどうなのって感じCSRF対策だっていうのならCookieの属性で許可ドメイン指定できるようにするんじゃダメだったのだろうか
HTTPSじゃない決済代行とか論外でしょ。
ガイジか?外部サイトも自社サイトもどちらもhttpsだとしても、POSTで外部サイトから戻ってきたら自社サイトで発行したCookieが送信されないって話なんだが???池沼か?
それはクロスサイトなんだから当然Noneだろ。
頭悪いなら黙ってればいいのに
SameSiteオプションがなかなか使われるようにならず、業を煮やした結果、Chrome 80ではSameSite無指定時の挙動を変更したという経緯。したがって、デフォルトの挙動を安全寄りに変えることに意義が見いだされているので、
CSRF対策だっていうのならCookieの属性で許可ドメイン指定できるようにするんじゃダメだったのだろうか
みたいな既存コードに手を入れる案はダメだと判断されると思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
サードパーティーCookieどころか (スコア:4, 参考になる)
サードパーティーCookieどころか、外部のサイトからPOSTで戻ってくる場合にも自サイトで発行したCookieが送信されなくなるので、
3Dセキュアとか決済代行サイトからPOSTで戻ってくるケースで問題になってる
https://www.ec-cube.net/news/detail.php?news_id=352 [ec-cube.net]
ちょっとこの仕様はさすがにどうなのって感じ
CSRF対策だっていうのならCookieの属性で許可ドメイン指定できるようにするんじゃダメだったのだろうか
Re: (スコア:0)
HTTPSじゃない決済代行とか論外でしょ。
Re: (スコア:0)
ガイジか?
外部サイトも自社サイトもどちらもhttpsだとしても、POSTで外部サイトから戻ってきたら自社サイトで発行したCookieが送信されないって話なんだが???
池沼か?
Re: (スコア:0)
それはクロスサイトなんだから当然Noneだろ。
Re: (スコア:0)
頭悪いなら黙ってればいいのに
Re: (スコア:0)
SameSiteオプションがなかなか使われるようにならず、業を煮やした結果、Chrome 80ではSameSite無指定時の挙動を変更したという経緯。したがって、デフォルトの挙動を安全寄りに変えることに意義が見いだされているので、
CSRF対策だっていうのならCookieの属性で許可ドメイン指定できるようにするんじゃダメだったのだろうか
みたいな既存コードに手を入れる案はダメだと判断されると思う。