Google Chrome 80の仕様変更(Cookieの扱い)でハマった

2020年2月にリリースされた最新のGoogle Chrome 80でCookieの扱いが変わりました。一般的なホームページを作っているだけなら問題は無いと思いますがOpenIDの様な外部認証を使っているとハマるかもしれません。

現象としては
セッションコントロールのためにCookieを設定
自分のページから外部認証サイトにリダイレクト
認証が正常終了
自分のサイトにリダイレクト
なぜか設定したCookieが渡ってこない

とりあえずCookieに
SameSite=None; Secure
を付加してクロスサイトで有効になる様に変更したところ問題が解消

原因として考えられるのは
設定しているCookieの有効期限が「セッション」なのでリダイレクトで消える
仕様通り戻りのリダイレクトでクロスサイト問題が起きる
Chromeにリダイレクト時のバグもしくは仕様変更がある

あくまでもとりあえず修正なのでもう少し調べる必要がありそうです。

コメントを残す

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください