关于cookie中sessionid丢失的问题排查和解决--samesite(客户端app、服务器端asp.net)

问题描述:

  App登录后,访问接口失败,后台调试发现sessionid丢失。android手机有问题,ios没有问题。访问服务器没有问题,访问测试服务器有问题。

基本环境:

  客户端h5+ App应用,编译器HbuilderX;服务器端asp.net。

问题排查:

  通过手机抓包工具Fidder(如何使用参考我另外一篇微博)查看,发现第一次调用接口时,sessionid没有被缓存和提交给服务器。后续每次访问都相当于重新发起请求。

第一次调用接口,有返回sessionid

第二次调用接口,没有把sessionid传给后台,导致后台又返回了sessionid

 cookie中没有sessionid

但前后台代码都没有做任何修改,且没有手动对cookie做操作,所以不可能是代码的原因。

同时发现部署到服务器,接口是可以访问的。于是比较了区别

SameSite

本地环境是iis10.0的,服务器是iis7.5。返回的参数中多了SameSite=Lax的设置。SameSite相关说明请查看阮一峰的博客

当设置lax时,大部分情况不发送第三方Cookie。

结论:

所以问题很明显了,iis 10.0环境导致cookie默认参数中带了samesite参数。而这个参数将导致cookie不发送到服务器。需要手动将samesite设置为None。

解决方案:

具体如何设置samesite,参考

webconfig中设置

<rewrite>
      <outboundRules>
           <rule name="RemoveSameSiteCookieFlag">
              <match serverVariable="RESPONSE_Set-Cookie" pattern="^(.*ASP.NET_SessionId.*)(; SameSite=Lax)(.*)$" />
                    <action type="Rewrite" value="{R:1}{R:3}" />
           </rule>
      </outboundRules>
</rewrite>

再次查看 samesite属性已经消失,sessionid也被缓存了。

 

 

posted @ 2020-09-30 17:37  梁涛999  阅读(2990)  评论(0编辑  收藏  举报