Cookie の適用範囲を宣言し、ファーストパーティまたは同じサイトのコンテキストに制限するかどうかを制御します。
| Lax | 同じサイトのリクエストと、クロスサイトのトップ レベル ナビゲーションで Cookie が渡されます。 |
| None | 同じサイトとクロスサイトのリクエストで Cookie が渡されます。セキュアコンテキスト/HTTPS が必要です。 |
| Strict | 同じサイトのリクエストで Cookie が渡されます。 |
| Do not specify | 同じサイトとクロスサイトのリクエストで Cookie が渡されます。 |
、.NET、
.NET Coreレベル: 環境
新しい
ナレッジベースの場合、プロパティの既定値は「Lax」です。
GeneXus 17 Upgrade 3 より前のバージョンで作成された既存の KB については、「Do not specify」が既定値です。
このプロパティは、CSRF 攻撃への対策として使用します。この項目属性のセキュリティについては、
OWASP の推奨事項を参照してください。
この問題については、ブラウザーの動作が
IETF により「
Incrementally Better Cookies」で規定されています。Chromium Browser の
バージョン 85 以降で実装済みで、ほかのブラウザーも追随の予定です。
まとめると、この Cookie 項目属性には 3 つの値があります:
- Lax: 同じサイトからのリクエスト、またはクロスサイトのトップレベル ナビゲーション リクエストに対するブラウザーの応答に Cookie が添付されます。これは、Secure 項目属性が True に設定され、SameSite の値が指定されていない場合にブラウザーで適用される既定値でもあります。このため、iFrame を含むか、使用するアプリケーションは、SameSite 項目属性を None に設定しない限り動作しません。
- Strict: クロスサイトリクエストでは、Cookie は渡されません。 同じサイトのリクエストの場合にのみ渡されます。これが、より安全で厳しい設定です。
- None: Secure 項目属性が True に設定されている場合は常に Cookie が渡されます。Secure 項目属性が False に設定されている場合 (開発環境で HTTP を使用する場合など)、Cookie は渡されません。
値「
Do not specify」は下位互換性のために実装されています。インフラストラクチャや Web サーバーの設定オプションを使用してデプロイ時に変更できます。Secure 項目属性も同様です。
この設定は、
Cookie データタイプを使って生成されたものを含め、すべての Cookie に適用されます。
「Do not specify」以外の値は、.NET Framework 4.7.2 以降でのみサポートされます。
IETF の 2016 年と 2019 年のドラフト仕様には互換性がないため、2019 年 11 月の .NET Framework 更新時の変更点が問題となる可能性があります。セッション状態とフォーム認証の Cookie は現在は
Unspecified ではなく Lax としてネットワークに書き込まれるようになっています。このため、「Unspecified」は現時点で httpCookies でのみ利用可能です。つまり、ASPNet Cookie (ASP.Net_SessionId) を除くすべての Cookie です。
詳細については、
こちらのリンクを参照してください。
このプロパティは設計時にのみ適用されます。
たとえば、https://example.com/sekrit-image のリクエストは、site for cookies が example.com のコンテキストから開始された場合にのみ、同じサイトの Cookie が添付されます。
プロパティに値を設定したときに、それに対応する変更を適用するには、任意のオブジェクトをビルドして *.config ファイルを生成します。
|
このプロパティは
GeneXus 17 Upgrade 3 以降で利用できます。