Google have said,默认情况下,他们将在2020年2月将SameSite=Lax属性添加到cookie。在准备过程中,我们已开始对所有cookie(包括会话cookie(SameSite=Lax)使用PHPSESSID进行测试。
我们遇到了一个问题,我们将用户重定向到WorldPay,以便他们可以添加其银行帐户。然后,WorldPay将新帐户的详细信息发布到我们的网站。问题是,因为这是一个跨站点请求,所以当用户返回我们的网站时,他们的浏览器不会加载会话cookie,因此他们从我们的网站注销。
我只是想知道是否有关于如何处理此问题的最佳实践。 SameSite可防止跨站请求伪造攻击。在我们的情况下,我们的跨站请求不是伪造或攻击,因此我们希望将请求列入白名单。
我想我们可以在将用户发送到WorldPay之前将会话ID存储在数据库中,然后在用户回来时使用先前的会话ID恢复会话。当然,挑战在于知道回来的人是离开的那个人。我想我们可以通过设置带有秘密令牌的SameSite=None cookie,然后在返回时重新检查该令牌来做到这一点。
此问题在SameSite Cookie的新时代必定是一个常见的“问题”。我想听听您如何解决它?