【发布时间】:2020-05-20 22:09:50
【问题描述】:
Chrome 80 将引入一个新属性,即 SameSite。
- 严格 - 仅为“同一站点”请求附加 cookie。
- Lax - 为“同一站点”请求发送 cookie,以及使用安全 HTTP 方法(例如(获取头部选项跟踪)。
- 无 - 为所有“相同站点”和“跨站点”请求发送 cookie。
如需了解更多信息,this article 很好地解释了 SameSite。
来自 Azure 文档:
云服务(服务提供者)使用 HTTP 重定向绑定将 AuthnRequest(身份验证请求)元素传递给 Azure AD(身份提供者)。然后,Azure AD 使用 HTTP 发布绑定将 Response 元素发布到云服务
我的问题是为什么 SameSite 会破坏 SAML 流程? ????"saml" samesite problem
当 IdP POST 响应返回给 SP 时,如果 SameSite=Lax,用户代理将不会发送具有 SP 域的 cookie。即使它不发送 cookie,我也不认为 SP 有任何问题。
【问题讨论】:
标签: cookies saml saml-2.0 spring-saml shibboleth