Как убрать предупреждение о том же сайте в Chrome с помощью приложения React с аутентификацией msal - PullRequest
Новая
       10

Как убрать предупреждение о том же сайте в Chrome с помощью приложения React с аутентификацией msal

1 голос
/ 05 февраля 2020

У нас есть приложение реагирования, и мы используем аутентификацию msal для AAD. Когда пользователь впервые входит в приложение и мы вызываем acquireTokenSilent для получения токена, мы получаем это предупреждение

enter image description here

, которое мы пытались вызвать: document.cookie = "cross-site-cookie=bar, SameSite=None, Secure";

но мы продолжаем получать это предупреждение.

Когда приложение развернуто в сервисе azure, это еще хуже. acquireTokenSilent возвращает ClientAuthError Token renewal operation failed due to time out. Если пользователь обновляет страницу, он получает токен и предупреждение исчезает.

Как мы можем удалить это предупреждение? Является ли ClientAuthError, что мы связаны с этим предупреждением (это происходит только после того, как мы получим это предупреждение)?

Ответы [ 2 ]

1 голос
/ 06 февраля 2020

Login.microsoftonline.com и login.live.com были обновлены в конце 2019 года, чтобы правильно установить флаг SameSite = None в файлах cookie, необходимых для междоменных запросов. Однако у нас есть много других файлов cookie, которые не требуются для междоменных доменов, и они оставлены без тегов, чтобы уменьшить количество изменений, которые мы вносим в действующую систему. Это может вызвать некоторые предупреждения в консоли Chrome, которые можно смело игнорировать для доменов login.microsoftonline.com и login.live.com.

1 голос
/ 06 февраля 2020

Вам нужно найти, где изначально был установлен этот повар ie и предоставить соответствующий атрибут SameSite. Помните - SameSite=None; Secure требуется только в том случае, если вы хотите этого повара ie, отправленного в межсайтовом / стороннем контексте. Если повар ie предназначен только для вашего собственного сайта, рассмотрите возможность использования SameSite=Lax или даже SameSite=Strict.

Обновлено Комментаторы правильно указали, что указанный домен в ошибке явно за microsoftonline.com, который не является сайтом отправителя. Мой совет применим только в том случае, если податель говорил о файлах cookie своего сайта.

...