我可以忽略 Firefox DevTools SameSite cookie 属性警告吗?
Can I ignore the Firefox DevTools SameSite cookie attribute warning?
我的 None 个 cookie 设置了 SameSite 属性。我刚刚注意到 Firefox DevTools 控制台为我的网站显示了以下警告:
Cookie “PHPSESSID” will be soon rejected because it has the “SameSite” attribute set to “None” or an invalid value, without the “secure” attribute. To know more about the “SameSite“ attribute, read https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite
它还会为我的第一方 cookie(例如我用来存储购物篮的 cookie)以及所有 Google gtag cookie 显示完全相同的警告消息。我检查过,Safari 和 Chrome 都没有显示警告。如果我不碰巧使用 Firefox 进行开发,我永远不会知道!
提供给 Mozilla 网站的 link 没有提供此类 cookie 何时可能被浏览器拒绝的时间表,并且混淆地指出没有 SameSite 属性的 cookie 将被视为 Lax(这很好)。
所以我的问题真的是我是否可以忽略此警告,因为它似乎有些错误,或者我必须采取措施为所有 cookie 设置 SameSite 属性,包括会话 cookie,这有点麻烦!
谢谢。
回答我自己的问题,如果这对任何人有帮助,我决定安全起见,我不会忽略 Firefox 警告并在 htaccess 中实现以下代码:
<ifmodule mod_headers.c>
Header always edit Set-Cookie ^(.*)$ ;SameSite=Lax
</ifmodule>
这会将我的所有第一方 cookie 的 SameSite 设置为 Lax,包括 PHP 会话 cookie。
我没有将 Secure 和 SameSite 设置为 None,因为我不需要这个,而且它显然在旧版浏览器上存在一些支持问题。
None 个 cookie 设置了 SameSite 属性。我刚刚注意到 Firefox DevTools 控制台为我的网站显示了以下警告:
Cookie “PHPSESSID” will be soon rejected because it has the “SameSite” attribute set to “None” or an invalid value, without the “secure” attribute. To know more about the “SameSite“ attribute, read https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite
它还会为我的第一方 cookie(例如我用来存储购物篮的 cookie)以及所有 Google gtag cookie 显示完全相同的警告消息。我检查过,Safari 和 Chrome 都没有显示警告。如果我不碰巧使用 Firefox 进行开发,我永远不会知道!
提供给 Mozilla 网站的 link 没有提供此类 cookie 何时可能被浏览器拒绝的时间表,并且混淆地指出没有 SameSite 属性的 cookie 将被视为 Lax(这很好)。
所以我的问题真的是我是否可以忽略此警告,因为它似乎有些错误,或者我必须采取措施为所有 cookie 设置 SameSite 属性,包括会话 cookie,这有点麻烦!
谢谢。
回答我自己的问题,如果这对任何人有帮助,我决定安全起见,我不会忽略 Firefox 警告并在 htaccess 中实现以下代码:
<ifmodule mod_headers.c>
Header always edit Set-Cookie ^(.*)$ ;SameSite=Lax
</ifmodule>
这会将我的所有第一方 cookie 的 SameSite 设置为 Lax,包括 PHP 会话 cookie。
我没有将 Secure 和 SameSite 设置为 None,因为我不需要这个,而且它显然在旧版浏览器上存在一些支持问题。