Azure App Service – Håndtering af SameSite-cookies og .NET Framework 4.7.2-programrettelse

Som en del af opdateringen til Azure App Service fra januar 2020 installeres den .NET Framework-programrettelse, der opdaterer, hvordan .NET Framework-apps håndterer SameSite-cookieegenskaben. Tjenesten installerer også en funktionalitet til App Service-kompatibilitet, der gælder for alle programmer, som kører på App Service for scenarier, hvor en cookie har angivet SameSite-egenskaben til "None".

.NET Core-versioner på App Service-platformen indeholder allerede opdateringer til håndtering af SameSite-cookies og ændres ikke som en del af tjenesteopdateringen fra januar 2020.

Azure App Service-nyttedataene udrulles i løbet af januar 2020, og den anslåede dato for fuldførelse er i slutningen af januar 2020 på tværs af den offentlige Azure-cloud, alle App Service-miljøer og nationale clouds.  Se de seneste oplysninger om udrulningen.

Da opdateringerne installeres trinvist på tværs af tjenesten, begynder programmer at køre på de nye App Service-nyttedata på forskellige tidspunkter i udrulningsperioden.  Udviklere kan se, om programmer kører på de opdaterede App Service-nyttedata, ved at kontrollere versionen af App Service på SCM-webstedet. SCM-webstedet er tilgængeligt på portalen fra indstillingen Udviklingsværktøjer – > Avancerede værktøjer.  Udviklere kan også navigere direkte til SCM-webstedet for et program ved hjælp af følgende URL-adresseformat: https://angiv-webstedsnavn.scm.azurewebsites.net.

For Windows App Service-websteder viser startsiden for SCM-webstedet versionen af Azure App Service.  Hvis versionen er 86.0.7.148 (eller nyere), kører det tilknyttede program på den version af App Service, der er rettet for nylig.

For Linux App Service-websteder returneres der en side med alle webstedernes miljøvariabler, hvis du klikker på indstillingen Miljø i den øverste menu på SCM-webstedet. Den side, der åbnes, har en URL-adresse, der er formateret på følgende måde: https://angiv-webstedsnavn.scm.azurewebsites.net/Env.  Miljøvariablen PLATFORM_VERSION viser den aktuelle version af App Service.  Hvis versionen er 86.0.7.148 (eller nyere), kører det tilknyttede program på den version af App Service, der er rettet for nylig.

Oplysninger om .NET Framework-programrettelse til SameSite

Specifikke oplysninger om forskelle i håndteringen af SameSite-cookies, der er inkluderet i .NET Framework 4.7.2-programrettelsen, er beskrevet i denne artikel. 

Når .NET Framework-programrettelsen er installeret, ændrer .NET Framework de standarder, der er angivet for egenskaben til konfiguration af cookieSameSite for sessionstilstand og formulargodkendelse, til "Lax".   .NET Framework sender også automatisk egenskaben SameSite=None, når HttpCookie.SameSite er angivet til værdien "None".

Du kan finde flere oplysninger om håndtering af SameSite-cookies med .NET Framework i denne artikel samt i vores dokumentation.

Læs mere om cookieSameSite-standarden for formulargodkendelse i denne artikel. 

Læs mere om cookieSameSite-standarden for sessionstilstand i denne artikel.

Du kan finde flere oplysninger om håndtering af SameSite-cookies med .NET Core i denne artikel. 

Oplysninger om funktionsmåde for Azure App Service kompatibilitet

Ud over .NET Framework-programrettelsen har Azure App Service introduceret en funktionsmåde for kompatibilitet i scenariet, hvor et HTTP/HTTPS-svar omfatter en cookieheader med SameSite-egenskaben angivet til værdien "None", og den anmodende brugeragent matcher et bestemt undersæt af ældre browsere, der ikke understøtter den nyere SameSite-standard fra 2019, og som ikke genkender SameSite-egenskaben "None".  Når der registreres en ældre browser, fjerner Azure App Service automatisk egenskaben SameSite=None, hvis den registreres i svarheaderne.

Den nettovirkning, der er angivet i funktionsmåden for App Service-kompatibilitet, er, at en bestemt del af ældre browsere ikke modtager en ukendt SameSite-værdi (hvilket kan medføre, at ældre browsere kan vende tilbage til funktionsmåden SameSite=Strict), mens nyere browsere, f.eks. Chrome V80, modtager cookieegenskaben SameSite=None.

Den specifikke registreringslogik, der bruges af App Service til at beslutte, hvornår egenskaben SameSite=None skal fjernes fra svaret, følger den pseudologik, der er dokumenteret i denne artikel.

Udviklere bør gennemgå deres programmers eventuelle brug og afhængighed af SameSite-cookieegenskaben og opdatere programlogik med registrering af brugeragent og særlig håndtering efter de enkelte programscenariers behov. Funktionsmåden for App Service-platformens kompatibilitet er kun beregnet til at fungere som en delvis afhjælpning, der, mens programmerne opdateres, skal hjælpe udviklere med at håndtere funktionsmåden for 2019 SameSite, der er implementeret i nyere browserversioner.

Udviklere skal også gennemse yderligere browserkrav, når cookies indeholder egenskaben SameSite=None. Chrome v80 vil f.eks. kun overholde SameSite=None, hvis cookien også er markeret med attributten Secure, og cookien overføres via en HTTPS-forbindelse. Vis flere oplysninger.  

Funktionsmåden for Azure App Service-kompatibilitet implementeres på App Service-netværkskantens infrastruktur. Funktionaliteten er aktiv for alle websteder, der kører på App Service, uanset hvilket sprog eller hvilken struktur der bruges af webstedet. Funktionsmåden for kompatibilitet fungerer for websteder, der kører på både Linux- og Windows-variationer af App Service, for App Service-miljøer og for alle nationale installationer af Azure App Service i clouden.