IE 列印時,沒有傳送 Session Cookies 資料,導致下個操作會把使用者登出

前言

同事詢問,系統升級到 .NET 4.x 後,使用 IE 原本列印畫面時,系統好好的。但升級後,按下列印或是預覽列印後,卻會造成使用者被登出。

研究

透過 Fiddler 錄相關的 Request 發現,在出現 Print 視窗時,系統還會發一個 Request 給 Server,但這個 Request 卻沒有帶任何的 Cookies,所以導致 Server 端認為不是已登入使用者,所以就被導到登入頁。

感覺蠻奇怪的,開啟列印視窗時,居然發一個 Request ,原本是建議同事詢找一下,為什麼 windows.open 時,都會自動去發那個 Request 。
隔天,同事 Ian 有找到 IE or Edge Print dialog box send request to server without session (because SameSite=Lax on session cookie),然後在 web.config 的 forms tag 中,多加入 cookieSameSite=”None” ,預設是 Lax
SameSite 是一種IETF草稿標準,旨在針對跨網站偽造要求(CSRF)攻擊提供一些保護。
表單驗證和會話狀態 cookie 的預設 SameSite 值已從 None 變更為 Lax。

依建議,如果要跟原本的行為一致就是設定回 None 。

1
2
3
4
5
6
7
8
9
10
11
12
<configuration> 
  <appSettings>
    <add key="aspnet:SuppressSameSiteNone" value="true" />
  </appSettings>
 
  <system.web> 
    <authentication> 
      <forms cookieSameSite="None" /> 
    </authentication> 
    <sessionState cookieSameSite="None" /> 
  </system.web> 
</configuration>

以上的暫時解,大家可依目前缺那個 Cookie 而去設定它,而且頁面也要實作 CSRF 的防護哦!
可以 check 的是,為什麼恕是要呼叫 /id 的那個 Request 。

註:

以上感謝 Jue, Evans, Ian 等同事的分享

參考資料

IE or Edge Print dialog box send request to server without session (because SameSite=Lax on session cookie)

在 ASP.NET 中使用 SameSite cookie

print of iframe reloads resources and doesnt send sameSite cookie after kb4511872 security update

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw