none
SameSite 옵션 HttpCookie 옵션 설정 관련 문의 RRS feed

  • 질문

  • 안녕하세요. .Net Framework 4.0 또는 4.5환경으로 개발된 MVC프로젝트들이 있습니다.

    크롬 브라우저 업데이트 되면서 sameSite이슈가 발생되었는데요. 이래저래 구글링을 하다보니 .Net Framework 4.7이상에서 web.config설정을 통해서 이슈를 해결이 가능하다는 내용을 찾았긴 했습니다.

    참고 URL : https://docs.microsoft.com/en-us/aspnet/samesite/system-web-samesite

    다만 그 하위 버전에서는 어떻게 처리해야 할지 몰라서 조언을 구하고자 합니다.

    현재 HttpCookie클래스를 이용해서 암호화된 쿠키 값을 서버 영역에서 만들고 있는데요. 이 부분을 View영역에서 설정해서 만들어야 할지

    의문이 듭니다. 

    2020년 8월 31일 월요일 오후 1:18

모든 응답

  • SameSite는 cross-site request forgery(CSRF) 공격에 대한 일부 보호를 제공하는 초안 표준입니다. 공식 문서에서 언급했듯이 업데이트 된 표준은 이전 표준과 역 호환되지 않습니다.
    이 표준은 .NET 4.7.2 버전에서 처음 지원되었으며 4.7.2 이전 버전에서는 표준 사용에 대한 관련 표현이 없습니다.
    그리고 안정적으로 구현할 수 없기 때문에 Microsoft는 same-site cookie 속성 작성을 위해 4.7.2 이전의 .NET 버전을 지원하지 않습니다:
    브라우저 버전에 따라 속성이 올바르게 작성되었는지 확인하시기 바랍니다.
    이전 프레임 워크 버전에서 인증 및 세션 쿠키를 가로채서 조정해 보시기 바랍니다.

    해당 이슈 관려해서는 공식 디자인을 따르는 것이 좋습니다.

    View는 HTML 템플릿이며 데이터와 함께 HTML 컨트롤을 바인딩하고 표시합니다. 이는 model의 데이터를 표시하는 데 사용되는 UI(user interface)를 담당합니다. 이것은 이슈와 직접적인 관련이 없다고 생각합니다.
    쿠키를 암호화해야한다면 View 대신 Controller에서 해야한다고 생각합니다.
    아니면 다른 목적이 있으신 가요?

    MSDN Community Support Ricky

    다른 커뮤니티 멤버에게 도움이 될 수 있게 문제를 해결 한 답변을 '답변으로 표시'를 클릭하시고 그렇지 않은 경우 '답변으로 표시 취소'를 클릭하시기 바랍니다. MSDN 서포트에 대한 의견이나 불만이 있을 경우 MSDNFSF@microsoft.com 으로 연락하시기 바랍니다.

     
    2020년 9월 2일 수요일 오전 9:32
    중재자