[ASP.NET Core 3.1]浏览器嗅探解决部分浏览器丢失Cookie问题

软件发布|下载排行|最新软件

当前位置:首页IT学院IT技术

[ASP.NET Core 3.1]浏览器嗅探解决部分浏览器丢失Cookie问题

有态度的小码甲   2020-03-30 我要评论
> 今天的干货长驱直入,直奔主题 看了前文的同学们应该都知道,搜狗、360等浏览器在单点登录中反复重定向,最终失败报错。 原因在于,非Chrome80+浏览器不识别Cookie上的`SameSite=none`属性值,导致认证Cookie在后续请求中被抛弃。 截至2020/3/30号,非Chrome浏览器测试包含两种结果: - case1:可设置cookie的samesite=none, 浏览器可读取该cookie - case2:对cookie设置samesite=none, 浏览器不能读取该cokie 浏览器| 最新版本号| 结果| 备注 ---|---|---|--- IE |11 | case1| win10 Edge | 44.18362.449.0 |case1 | 2020/2/15开始使用chrome内核/70.0.3538.102 Firefox | 74 |case1| 360急速浏览器 | 12.0.1190.0|case1 | 基于chromium78 搜狗浏览器 | 8.6.1.31812 |case2 | User-Agent: Chrome/65.0.3314.0 猎豹安全浏览器 | 6.5.115|case2 | User-Agent:Chrome/57.0.2987.98 QQ浏览器 | 10.5.3 |case1 | chromium 70 华为手机浏览器 | 10.0.6.304|case1| 魅族手机浏览器 | 8.5.1|case2| > 嗯,我之前报的360急速浏览器在新版已经更新了Chrome内核,作为主流的搜狗和猎豹浏览器还是使用旧版本Chrome内核,这是要闹哪样? 如果Web应用程序打算`支持旧内核浏览器,则需要实现浏览器嗅探`。 ASP.NET Core不会帮你实现浏览器嗅探,因为User-Agents值易变且经常更改。 但是Microsoft.AspNetCore.CookiePolicy中的扩展点允许插入浏览器嗅探逻辑。 在Startup.Configure中,**在调用UseAuthentication或任何写入cookie的方法之前添加调用UseCookiePolicy的代码**: ``` public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } else { app.UseExceptionHandler("/Error"); app.UseHsts(); } app.UseHttpsRedirection(); app.UseStaticFiles(); app.UseRouting(); // 表示ASP.NET Core 启动Cookie策略 app.UseCookiePolicy(); app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapRazorPages(); }); } ``` 在Startup.ConfigureServices, 添加Cookie的策略配置代码: ``` public void ConfigureServices(IServiceCollection services) { services.Configure(options => { options.MinimumSameSitePolicy = (SameSiteMode)(-1); options.OnAppendCookie = cookieContext => CheckSameSite(cookieContext.Context, cookieContext.CookieOptions); options.OnDeleteCookie = cookieContext => CheckSameSite(cookieContext.Context, cookieContext.CookieOptions); }); services.AddRazorPages(); } private void CheckSameSite(HttpContext httpContext, CookieOptions options) { if (options.SameSite == SameSiteMode.None) { var userAgent = httpContext.Request.Headers["User-Agent"].ToString(); if (MyUserAgentDetectionLib.DisallowsSameSiteNone(userAgent)) { options.SameSite = SameSiteMode.Unspecified; } } } ``` 上面的例子中,`MyUserAgentDetectionLib.DisallowsSameSiteNone` 是一个自定义的库文件,侦测不支持`SameSite=None`的UserAgent。 > ASP.NET Core3.1 对与SameSiteMode新增了一个 Unspecified枚举值,表示服务端不会对Cookie设置SameSite属性值, 后面的携带Cookie的事情交给浏览器默认配置。 具体的侦测代码如下: ``` public static bool DisallowsSameSiteNone(string userAgent) { // Check if a null or empty string has been passed in, since this // will cause further interrogation of the useragent to fail. if (String.IsNullOrWhiteSpace(userAgent)) return false; // Cover all iOS based browsers here. This includes: // - Safari on iOS 12 for iPhone, iPod Touch, iPad // - WkWebview on iOS 12 for iPhone, iPod Touch, iPad // - Chrome on iOS 12 for iPhone, iPod Touch, iPad // All of which are broken by SameSite=None, because they use the iOS networking // stack. if (userAgent.Contains("CPU iPhone OS 12") || userAgent.Contains("iPad; CPU OS 12")) { return true; } // Cover Mac OS X based browsers that use the Mac OS networking stack. // This includes: // - Safari on Mac OS X. // This does not include: // - Chrome on Mac OS X // Because they do not use the Mac OS networking stack. if (userAgent.Contains("Macintosh; Intel Mac OS X 10_14") && userAgent.Contains("Version/") && userAgent.Contains("Safari")) { return true; } // Cover Chrome 50-69, because some versions are broken by SameSite=None, // and none in this range require it. // Note: this covers some pre-Chromium Edge versions, // but pre-Chromium Edge does not require SameSite=None. if (userAgent.Contains("Chrome/5") || userAgent.Contains("Chrome/6")) { return true; } return false; } ``` ### 总结 本文实战演示在ASP.NET Core扩展点插入浏览器嗅探逻辑,解决设备不支持cookie SameSite=none的历史问题. - https://www.chromium.org/updates/same-site/incompatible-clients

Copyright 2022 版权所有 软件发布 访问手机版

声明:所有软件和文章来自软件开发商或者作者 如有异议 请与本站联系 联系我们