크롬에서 same-site 정책을 강화하면서 기본값이 lax가 되었다.
그래서 same-site를 기존에 컨트롤 하지 않는 사이트들은 변경된 정책에 의해 타 도메인간의 post이동 시 쿠키가 유지 되지 않는다.
가장 큰 문제로 JSESSION을 사용하는 사이트들의 세션 유실 문제이다.
특히 모바일 화면 전환 방식 PG를 이용하는 경우 반드시 same-site : none 를 적용해야 한다.
그래서 여러가지 방법 중 WAS 설정에서 강제로 해당 정책을 적용하는 경우가 있는데 이러면 큰일난다.
왜냐하면 iOS 12버전(이하)에서 WAS설정으로 강제로 same-site : none설정을 하면 strict로 전송되는 버그가 있기 때문이다.
(strict는 가장 보수정인 정책)
이는 크롬에서도 인정했고 iOS13버전에서 수정되었다.
https://www.chromestatus.com/feature/5088147346030592
Cookies default to SameSite=Lax - Chrome Platform Status
Motivation See also: https://www.chromestatus.com/feature/5633521622188032 (Cookies marked SameSite=None should also be marked Secure.) “SameSite” is a reasonably robust defense against some classes of cross-site request forgery (CSRF) attacks, but dev
www.chromestatus.com
댓글