ASP.NET Core 3.1 — IdentityServer4 — Cookie SameSite

Em Maio de 2019 os responsáveis pelo desenvolvimento do navegador Chrome, anunciaram que fariam algumas mudanças relacionadas a segurança e uma melhor experiência do usuário.

Problem

SameSite Attribute

O valor lax vai permitir que o cookie transite entre as requisições de diferentes sub-domínios e vai resolver o problema.

IdentityServer4 and Web MVC Application

A solução para resolver o problema é bem simples, no arquivo Startup.cs da aplicação Web MVC e IdentityServer4 basta incluir a linha a seguir e tudo vai funcionar.

app.UseCookiePolicy(new CookiePolicyOptions { MinimumSameSitePolicy = SameSiteMode.Lax });

Chrome Configurations

chrome://flags/#cookies-without-same-site-must-be-secure

chrome://flags/#enable-removing-all-third-party-cookies

Microsoft

Affected Applications

  • Microsserviços que se comunicam por diferentes sub-domínios;
  • Monolitos que se comunicam com outras aplicções através de iframe em diferentes sub-domínios;

Originally published at http://alextochetto.com on October 26, 2020.