SameSite属性中断SAML流

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SameSite属性中断SAML流相关的知识,希望对你有一定的参考价值。

Chrome 80将引入一个新属性SameSite。

  • 严格-仅针对“同一站点”请求附加cookie。
  • Lax-使用安全的HTTP方法,例如,针对“同一站点”的请求发送cookie,以及“跨站点”的顶级导航。 (获取头部选项跟踪)。
  • 无-针对所有“同一站点”和“跨站点”请求发送cookie。

有关详细信息,this article很好地解释了SameSite。

从Azure文档:

云服务(服务提供者)使用HTTP重定向绑定将AuthnRequest(身份验证请求)元素传递到Azure AD(身份提供者)。然后,Azure AD使用HTTP发布绑定将Response元素发布到云服务]

我的问题是,为什么SameSite中断SAML流?

>> Even if it does not send cookies I don't see there is any problem with SP.

如果未使用SameSite = None正确设置IdP cookie,则不会根据SP的请求将其发送到IdP,并且将要求用户再次登录IdP。

来源:https://support.okta.com/help/s/article/FAQ-How-Chrome-80-Update-for-SameSite-by-default-Potentially-Impacts-Your-Okta-Environment

以上是关于SameSite属性中断SAML流的主要内容,如果未能解决你的问题,请参考以下文章

SameSite=None w/ IE11 中的安全中断 iFrame

对于涉及跨域请求的 SSO 流,在 iOS 12 中阻止了强制执行 SameSite 策略的 Cookie

如何设置 SameSite 属性?

此 Set-Cookie 未指定“SameSite”属性,默认为“SameSite=Lax”-Localhost

Flask cookie 没有 SameSite 属性

<URL> 处的跨站点资源设置为没有 `SameSite` 属性 .NET