Как установить атрибут cookie SameSite, используя конфигурацию Apache?

Question

Я не могу увидеть SameSite = Strict с помощью встроенных инструментов разработчика на вкладке «Приложение».

Я добавил ниже код заголовка в конфигурации Apache

Header always edit Set-Cookie (.*) "$1;SameSite=Strict"
Header edit Set-Cookie ^(.*)$ $1;SameSite=Strict

Пожалуйста, дайте мне знать, как установить SameSite = Strict с использованием вышеуказанных настроек.

Answer 1

В моем локальном окружении (Apache 2.4) после включения mod_headers я смог добиться этого, добавив директивы, как показано ниже, в моем vhost:

<ifmodule mod_headers.c>
Header always edit Set-Cookie (.*) "$1; SameSite=strict"
</ifmodule> 

Где разница? Почему это не сработало для вас? Может, его отсутствие "пробела" после точки с запятой?

<ifmodule mod_headers.c>
# always is similar to "onerrors"
        Header always edit Set-Cookie (.*) "$1; SameSite=strict"
# success is similar to http 2xx response code
        Header onsuccess edit Set-Cookie (.*) "$1; SameSite=strict"
# remove duplications (apache sends from both tables always and onsuccess)
        ## https://www.tunetheweb.com/security/http-security-headers/secure-cookies/
        #Strip off double SameSite=strict settings as using above you can sometimes get both
        Header edit Set-Cookie ^(.*);\s?SameSite=strict;?\s?(.*);\s?SameSite=strict;?\s?(.*)$ "$1; $2; $3; SameSite=strict"

        #Strip off double ;; settings
        Header edit Set-Cookie ^(.*);\s?;\s?(.*)$ "$1; $2"

</ifmodule>

[руководство по apache] (https://httpd.apache.org/docs/2.2/de/mod/mod_headers.html)

[стек обсуждения] ( httpd дубликат Access-Control-Allow-Origin с «Заголовок всегда установлен» )