【发布时间】:2022-01-18 18:29:16
【问题描述】:
我有一个 ASP.NET Core 6 MVC Razor pages 应用程序,它使用 Microsoft Identity 进行 AzureAD 集成身份验证,在 Azure Linux AppService 计划上运行(使用强制 HTTPS)。
身份验证集成就像一个魅力。再开心不过了。
但在我的日志中,我看到如下警告:
cookie '".AspNetCore.Correlation.[...]"' 已设置 'SameSite=None' 并且还必须设置 'Secure'。
(对于 .AspNetCore.OpenIdConnect.Nonce cookie)。
我已尝试添加 cookie 策略:
app.UseCookiePolicy(new CookiePolicyOptions
{
HttpOnly = Microsoft.AspNetCore.CookiePolicy.HttpOnlyPolicy.Always,
MinimumSameSitePolicy = Microsoft.AspNetCore.Http.SameSiteMode.None,
Secure = Microsoft.AspNetCore.Http.CookieSecurePolicy.Always
});
但没有快乐。
我尝试了位于“var app = builder.Build();”之后的代码在“app.UseAuthentication(); app.UseAuthorization();”之后(就在 app.MapRazorPages().RequireAuthorization("MyRoleId") 之前)。
关于如何将这些 cookie 设置为安全的任何想法?
【问题讨论】:
标签: c# asp.net-core cookies azure-web-app-service microsoft-identity-web