专栏首页Dotnet Plus临近年关,修复ASP.NET Core因浏览器内核版本引发的单点登录故障

临近年关,修复ASP.NET Core因浏览器内核版本引发的单点登录故障

临近年关,咨询师提出360、搜狗急速浏览器无法单点登录到公司核心产品WD: 重定向过多。

现象

经过测试, 出现单点登陆故障的是搜狗、360等双核浏览器(默认使用Chrome内核), 较新式的Edge、Chrome、Firefox均未出现此障碍。

Developer tool监测不到原始的SSO请求,互联网上同类型问题不少,答案却惨不忍睹,味同嚼蜡,人云亦云。年末不能晚节不保,决心啃下硬骨头.

拿出网络分析利器Fiddler

循环重定向?

显示单点登录从website1?ticket =XXOO重定向回首页website1.com,确实发生了循环重定向,搜狗浏览器有重定向次数限制,最终返回浏览器定制的404 页面。

结合之前手撕公司单点登录原理:

探究站点发生循环重定向的原因:

自⑥ website1向浏览器写入Cookie for website1,重定向请求站点主页www.website1.com⑦的时候,丢失Cookie for website1,导致website1认为用户未登陆,被迫重定向请求sso-website.com?service=http://www.website1.com②重新认证;

sso-website.com站点检测到存在Cookie for sso(该用户已经认证),又开始走④⑤⑥⑦步骤,在第⑦步依旧未携带Cookie for website1,又再次重定向请求sso-website.com?service=http://www.website1.com②,循环往复。

定位问题

熟稔web开发的都知道 Cookie for website1 会在请求 website1.com时自然携带

Set-Cookie: X-Gridsum-FullTicketId=TGT-178876-em4uf0faD1c4pbt*********k5Z0vN4uPOoEBWfGIP6l-x-gridsumdissector; path=/; samesite=none; httponly

故障关键在单点登录最后一步重定向,竟然未携带Cookie for website1

截图:

着重分析写入Cookie for website1的附加属性:

Path 指示需要发送该cookie头的根url,      =/ 表示站点下所有地址都会发送该Cookie
SameSite 设置该Cookie的同源策略,     = none 指示客户端禁用Cookie的同源限制
HttpOnly 指示创建的Cookie是否能通过Javascript访问(该cookie依然存于浏览器上),这里true,表示不能通过Javascript访问该Cookie

从属性定义看,属性值的写法也无懈可击。

最后在官方站点找到如下内容:

The SameSite = None parameter causes compatibility problems with clients that implemented the prior 2016 draft standard (for example, iOS 12). See Supporting older browsers in this document; Apps accessed from older browsers which support the 2016 SameSite standard may break when they get a SameSite property with a value of None. Web apps must implement browser detection if they intend to support older browsers 遵守IETF 2016草案的浏览器不认识SameSite= None属性值,会遇到兼容性问题,若站点打算支持这些旧内核浏览器须实现浏览器嗅探。

这个信息让我眼前一亮,赶紧对比故障的浏览器内核:

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3314.0 Safari/537.36 SE 2.X MetaSr 1.0

搜狗浏览器Chrome内核版本65,位列不兼容列表,binggo, 问题定位。

修复策略

我们的目的是为兼容这些旧核心浏览器,但是本人不打算打补丁(浏览器嗅探,根据User-Agent屏蔽SameSite=none), 结合站点的同源限制的现状,本站点没有必要显式设置SameSite= None,可保持SameSite默认值Lax。 说干就干,修改SameSite属性值为Lax,重新k8s部署之后,搜狗浏览器正常单点登陆。

context.Response.Cookies.Append(_options.SsoTgtName, tgt1, new Microsoft.AspNetCore.Http.CookieOptions
                       {
                           HttpOnly = true,
                           SameSite = Microsoft.AspNetCore.Http.SameSiteMode.Lax,
                           Secure = false,
                       });

SameSite历史和版本变更

ASP.NET Core是在2.0版本开始支持SameSite(IETF 2016草案),ASP.NET Core默认将Cookie SameSite设为Lax, 遇到身份验证问题后,大多数SameSite使用被禁用。 IETF 2019标准发布了修复补丁,2019 SameSite草案规定:

  • 与2016年草案不向后兼容
  • 默认将Cookie SameSite= Lax
  • 显式设置SameSite=None时,必须将该Cookie标记为Secure, None是一个新值
  • ASP.NET Core 3.1在SameSite枚举值新增Unspecified,表示不写入SameSite属性值,继承浏览器默认的Cookie策略
  • 预定于2020年2月由Chrome默认启用该草案,浏览器需要迁移至该草案。

综上,SameSite=None引出了一个难缠的浏览器新旧版本兼容问题,就本站而言, 最后一步将Cookie的同源策略SameSite=Lax是可行的。

[1] https://docs.microsoft.com/en-us/aspnet/core/security/samesite?view=aspnetcore-2.1 [2] https://devblogs.microsoft.com/aspnet/upcoming-samesite-cookie-changes-in-asp-net-and-asp-net-core

本文分享自微信公众号 - Dotnet Plus(nodotnet),作者:小码甲

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • [ASP.NET Core 3.1]浏览器嗅探解决部分浏览器丢失Cookie问

    看了前文的同学们应该都知道,搜狗、360等浏览器在单点登录中反复重定向,最终失败报错。

    小码甲
  • 2020年了,再不会Https就老了

    合格的web后端程序员,除搬砖技能,还必须会给各种web服务器启用Https,本文结合ASP.NET Core部署模型聊一聊启用Https的方式。

    小码甲
  • ASP.NET Core跨平台技术内幕

    ASP.NET Core设计初衷是开源跨平台、高性能Web服务器,其中跨平台特性较早期ASP.NET是一个显著的飞跃,.NET现可以理直气壮与JAVA同台竞技,...

    小码甲
  • 浏览器跨域限制概述

    所谓浏览器跨域限制,其实是为了数据安全的考虑由Netscape提出来限制浏览器访问跨域数据的策略。 这是一种约定,正式叫法为“浏览器同源策略”,目前已经在大多...

    2Simple
  • 说下browserslist

    browserslist 是一个开源项目 见到有些package.json里会有如下的配置参数

    mafeifan
  • 90%的程序员都没有完全回答对 Cookie 和 Session 的区别?

    我在做面试官的时候,曾经问过很多朋友这个问题: Cookie 和 Session 有什么区别呢?大部分的面试者应该都可以说上一两句,比如:什么是 Cookie?...

    纯洁的微笑
  • post和get的区别,面试经常被问到!(二)

    Mshu
  • 火绒安全周报:英特尔芯片出现底层设计漏洞 火狐代码错误收集用户崩溃报告

    英特尔公司日前被曝出在其过去十年生产的x86处理器中都存在一严重漏洞,导致微软、苹果等公司需要修改操作系统。但这一漏洞修补过程可能导致全球个人电脑性能下降,最高...

    用户6477171
  • HTTP学习之五层网络模型

    HTTP几乎都是从五层网络模型说起,虽然觉得可以不用深入了解,但是还是需要简单的了解一些。

    wade
  • 你无法检测到触摸屏

    无论你可能会怎么想,目前,在浏览器里可靠地检测当前的设备是否有一个触摸屏是不可能的。

    疯狂的技术宅

扫码关注云+社区

领取腾讯云代金券