asp.net - 浏览器不会在支付网关向我们网站发出的发布请求上设置 ASP.NET

asp.net - 浏览器不会在支付网关向我们网站发出的发布请求上设置 ASP.NET_SessionId cookie

转载作者：行者123 更新时间：2023-12-02 12:07:32

25

4

我们的网络应用程序的支付流程遇到了一个奇怪的问题，导致 session 数据丢失。

在此过程中，在我们的结帐页面之后，用户将被重定向到支付提供商的页面，并在完成后立即重定向回我们的网站(到我们指定的网址)。最后一个重定向是通过浏览器对支付提供商的 html 代码进行评估来完成的，该代码基本上由发布到我们网站的表单和在页面加载时发布该表单的几行 javascript 代码组成。此时，浏览器发出 post 请求，但不会设置“ASP.NET_SessionId”cookie，该 cookie 出现在之前对完全相同的域(我们的应用程序的域)发出的请求中。更奇怪的是，它设置了我们使用的另一个 cookie，名为“AcceptCookie”。它只是简单地选择删除“ASP.NET_SessionId”cookie。

为了说明情况，我截取了一些屏幕截图。 (在这些屏幕截图中，橙色和绿色矩形包含完全相同的值。)

这是当用户按下“ checkout ”按钮时(向我们的应用程序)发出的请求。发出此请求后，用户将被重定向到支付提供商的页面。

check-out request

这是用户完成操作后支付提供商提供的最终页面。正如您所看到的，这只是一个简单的表单，会在页面加载时自动发布到我们的域。

payment provider's final response

但是此 post 请求不包含“ASP.NET_SessionId”cookie，这会导致获取新的 session ID 并丢失先前的 session 数据。再说一次，只是缺少“ASP.NET_SessionId”，而不是另一个名为“AcceptCookie”的。

post request that brings the user back to our site (made with javascript in the previous step)

最后我们发现在旧版本的浏览器上不会出现此问题。在 Firefox 52 上它工作得非常顺利，但在 Firefox 71 上就会出现上述问题。

有什么想法吗？

注意:这是一个 targetFramework="4.5.2"的 ASP.NET MVC 应用程序

祝你有美好的一天。

最佳答案

我们想通了。

不知何故，“ASP.NET_SessionId”cookie 的“SameSite”属性默认为“Lax”，这会导致 session cookie 未添加到支付网关的 javascript 代码发出的请求中。

我们在 web.config 文件中添加了以下规则，以覆盖此值并将其设置为“None”。

<configuration>
  <system.webServer>
    <rewrite>
      <outboundRules>
        <rule name="Add SameSite" preCondition="No SameSite">
          <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
          <action type="Rewrite" value="{R:0}; SameSite=None" />
          <conditions>
          </conditions>
        </rule>
        <preConditions>
          <preCondition name="No SameSite">
            <add input="{RESPONSE_Set_Cookie}" pattern="." />
            <add input="{RESPONSE_Set_Cookie}" pattern="; SameSite=None" negate="true" />
          </preCondition>
        </preConditions>
      </outboundRules>
    </rewrite>
  </system.webServer>
</configuration>

更新 1:仅添加上述配置即可解决现代浏览器的问题，但我们意识到旧版本的 Micosoft Edge 和 Internet Explorer 仍然存在问题。

因此我们需要在 web.config 文件中的 sessionState 节点中添加 cookieSameSite="None"属性。

<sessionState cookieSameSite="None" />

但请小心此配置更改，因为较旧的 .net 框架版本不支持它并导致您的网站显示错误页面。

顺便说一句，我们在 IOS 12 中的浏览器仍然存在问题。但我认为这与 this confirmed bug 有关。

更新 2:请参阅 zemien 的答案，了解有关 IOS 问题的可能修复

更新 3:通过将我们的发现与 zemien 答案中的建议相结合，我们提出了以下重写规则。我们一直在生产中使用此配置。 但要注意:它会为兼容浏览器标记所有具有“SameSite:None”属性的 cookie，并排除不兼容浏览器的 SameSite 属性(如果存在)。 这可能看起来很复杂，但我尝试通过注释行进行解释。

这是我们在生产中使用的最终配置:

<configuration> 

  <system.webServer>

    <rewrite>

      <outboundRules>

        <preConditions>
          <!-- Browsers incompatible with SameSite=None -->
          <preCondition name="IncompatibleWithSameSiteNone" logicalGrouping="MatchAny">
            <add input="{HTTP_USER_AGENT}" pattern="(CPU iPhone OS 12)|(iPad; CPU OS 12)" />
            <add input="{HTTP_USER_AGENT}" pattern="(Chrome/5)|(Chrome/6)" />
            <add input="{HTTP_USER_AGENT}" pattern="( OS X 10_14).*(Version/).*((Safari)|(KHTML, like Gecko)$)" />
          </preCondition>

          <!-- Rest of the browsers are assumed to be compatible with SameSite=None -->
          <preCondition name="CompatibleWithSameSiteNone" logicalGrouping="MatchAll">
            <add input="{HTTP_USER_AGENT}" pattern="(CPU iPhone OS 12)|(iPad; CPU OS 12)" negate="true" />
            <add input="{HTTP_USER_AGENT}" pattern="(Chrome/5)|(Chrome/6)" negate="true" />
            <add input="{HTTP_USER_AGENT}" pattern="( OS X 10_14).*(Version/).*((Safari)|(KHTML, like Gecko)$)" negate="true" />
          </preCondition>

        </preConditions>

        <!-- Rule 1: Remove SameSite part from cookie for incompatible browsers if exists -->
        <rule name="Remove_SameSiteCookie_IfExists_ForLegacyBrowsers" preCondition="IncompatibleWithSameSiteNone">
          <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=.*)" />
          <action type="Rewrite" value="{R:1}" />
        </rule>

        <!-- Rule 2: Override SameSite's value to None if exists, for compatible browsers -->
        <rule name="Override_SameSiteCookie_IfExists_ForModernBrowsers" preCondition="CompatibleWithSameSiteNone">
          <match serverVariable="RESPONSE_Set-Cookie" pattern="(.*)(SameSite=.*)" />
          <action type="Rewrite" value="{R:1}; SameSite=None" />
        </rule>

        <!-- Rule 3: Add SameSite attribute with the value None if it does not exists, for compatible browsers -->
        <rule name="Add_SameSiteCookie_IfNotExists_ForModernBrowsers" preCondition="CompatibleWithSameSiteNone">
          <match serverVariable="RESPONSE_Set-Cookie" pattern=".*"/>
          <!-- Condition explanation: Cookie data contains some string value but does not contain SameSite attribute -->
          <conditions logicalGrouping="MatchAll">
            <add input="{R:0}" pattern="^(?!\s*$).+"/>
            <add input="{R:0}" pattern="SameSite=.*" negate="true"/>
          </conditions>
          <action type="Rewrite" value="{R:0}; SameSite=None" />
        </rule>

      </outboundRules>

    </rewrite>    

  </system.webServer>  

</configuration>

关于asp.net - 浏览器不会在支付网关向我们网站发出的发布请求上设置 ASP.NET_SessionId cookie，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/59269476/

25

4

0

文章推荐： delphi - 如何在 Delphi 2010 中更快地完成代码？

文章推荐： docker - Kubernetes和Helm的配置管理

文章推荐： kubernetes - 如何在 Windows Server 2019 上安装 Kubernetes？

kubernetes - NLB -> Istio 网关 vs ALB -> Istio 网关
据我了解，无论如何，您的 Istio 网关前都会有一个 NLB 或 ALB？但我很困惑，因为 Istio Gateway 似乎为 ALB 为第 7 层甚至更多做了很多事情？所以我读了 ALB ->
微服务和 API 网关
只是一般的好奇，我还没有找到任何关于它的信息。我最近开始学习微服务及其相关内容，例如 API 网关。我知道 API 网关可以是 Web 应用程序等的单一入口点。但是，如果有多个服务，每个服务都有自己
具有虚拟网络的 Azure 网关
我对网关和虚拟机的设置有多个疑问，所以这就是我的实际情况。我有一个应用程序网关和两个 VM Ubuntu，所有内容都托管在 Azure 上。它们都位于同一个虚拟网络上。两个虚拟机都只有一个私有(pr
java - 将重命名的文件作为输入传递到出站适配器/网关
在 spring-boot-integration 应用程序中，编写了一个自定义储物柜，在锁定之前重命名原始文件 (fileToLock.getAbsolutePath() + ".lock") 并预
Linux命令行修改IP、网关、DNS的方法
网卡eth0 IP修改为 102.168.0.1 复制代码代码如下: ifconfig eth0 102.168.0.1 netma
Linux系统下修改IP地址、网关、DNS的基本方法
CFSDN坚持开源创造价值，我们致力于搭建一个资源共享平台，让每一个IT人在这里找到属于你的精彩世界. 这篇CFSDN的博客文章Linux系统下修改IP地址、网关、DNS的基本方法由作者收集整理，如果
Grpc 和 API 网关
我正在考虑改变我的背部将 rest api 微服务结束到 grpc 服务器。我使用 tyk 作为 api 网关来路由 http 请求。 api 网关如何处理 grpc 请求？最佳答案使用 gRPC
python - API 网关 - 自定义授权方无法正常工作
我在 AWS ApiGateway 上配置/使用身份验证时遇到了一些问题。我已经使用接收 AWS 身份验证模型的代码设置了我的 lambda 函数，见下文，它基本上解码 JWT token 并验证给定
Azure - 虚拟网络网关与 VPN 网关
虚拟网络网关与 VPN 网关之间有哪些区别？是什么决定了使用哪一个？我能找到的最接近的定义是 “VPN 网关是一种特定类型的虚拟网络网关，用于通过公共(public) Internet 在 Azur
ipfs - 如何将文件从浏览器发送到远程 IPFS 网关
我有一个调用 _getFile 函数的输入字段获取文件 _getFile(event) { this.loading = true; const file = event.target.f
microservices - 为什么微服务推荐使用 API 网关？
对于微服务，常用的设计模式是 API-Gateway。我对它的实现和影响有点困惑。我的问题/疑虑如下: 为什么一般不讨论微服务的其他模式？如果是，那么我错过了他们吗？如果我们部署一个网关服务器，那不
rest - 事件驱动架构的 API 网关
我们正在尝试将我们的单体核心拆分为微服务，并添加一些使用消息系统(例如 Kafka)相互连接的新服务。下一阶段是创建 API 端点，以便通过 Api 网关在移动应用程序和微服务之间进行通信。开发
azure - 创建本地网络网关时无法选择 VNet 网关
我在本地网关上创建连接时遇到问题。当我创建连接时，Vnet 网关是可选的，但当我选择它时，Azure 未填充或实际选择网关，不确定原因。我是否需要任何下标，或者我的 vnet 网关创建不正确？最佳
java - 服务 API 网关
我正在用 Java 开发 Web 服务。现在假设我有 10 项服务，并且我希望只能通过 Apigateway 访问我的所有服务。现在假设我有一个 API 调用，需要调用 4 个服务，例如 A、B、C
api - 如何实现基本的 API 网关
我正在做一个学校项目，我的任务是制作一个简单的 api 网关，它可以放置在任何第 3 方 api 和最终用户之间，该网关可用于定义 api 的使用限制或做一些安全分析，我对此完全陌生，我知道API网关
java - 亚马逊网络服务 - API 网关
我正在尝试集成 AWS Api Gateway 和 AWS Lambda，我能够调用 Lambda 函数并获得响应。但是当我使用 AWS API Gateway 并使用 GET 方法调用我的 La
java - Spring Activiti 网关
我对 Spring 和 Activiti 都是个菜鸟，所以这应该是一个很大的问题。如果我的问题结构不佳或其他什么问题，我提前道歉。这是我的 Activity 图的一部分: 首先要做的事情: 在服务任
python 将查询字符串参数传递给 API 网关
我正在尝试将 API 网关与 Lambda 代理集成， API 服务器接收带有这些参数的请求，即邮政编码和房屋 https://api.domain.com/getAddressproxy?postc
paypal - 为我的场景选择 Paypal 网关
在我们的案例中，我们需要用户在注册期间或进行任何业务交易之前预先批准他们的付款。一旦授权，我们需要每月从他们的账户中扣除 $X。X 将根据他们当月的收入而有所不同。此外，对于某些用户，我们需要每月支
ActiveMerchant PaypalExpress 网关 - 设置谁支付费用
我正在尝试使用 ActiveMerchant 创建一个 Paypal express 交易。有没有办法将收款人设置为负责支付任何应计费用的实体？ payment_hash = { ip: ip

首页

博学

6Ren·AI

商城

asp.net - 浏览器不会在支付网关向我们网站发出的发布请求上设置 ASP.NET_SessionId cookie