Я пытаюсь явно установить атрибут SameCookie файла cookie с ASP.NET Core в значение Нет.
Я пытался это сделать, установив значение свойства CookieOptions следующим образом:
var options = new CookieOptions
{
SameSite = SameSiteMode.None
};
(другие атрибуты для краткости опущены)
Однако, когда я проверяю заголовки ответа сервера (где сервер должен устанавливать cookie с SameSite = None), я вижу, что SameSite опущен. Напротив, я вижу значения, срок действия, путь и даже безопасность, указанные явно.
Если я установлю SameSite в коде C # на Lax или Strict, я смогу увидеть его явно включенным в заголовок Set-Cookie. Если я установлю его на None - я не смогу.
Я проверил два браузера - Firefox и Chrome 77 (мне известны изменения, которые эта версия вносит в SameSite).
Есть способ включить SameSite = None. Вам просто нужно добавить следующую строку в свойство Path CookieOptions:
options.Path += "; samesite=None";
Тогда его можно найти в заголовке Set-Cookie ответа.
Есть ли способ настроить Kestrel (для хостинга не используется IIS, голый Kestrel), чтобы включить SameSite = None в заголовки без его взлома?