Azure App Service - SameSite 쿠키 처리 및 .NET Framework 4.7.2 패치
게시된 날짜: 1월 18, 2020
Azure App Service 2020년 1월 업데이트의 일부로, .NET Framework 앱이 SameSite 쿠키 속성을 처리하는 방법을 업데이트하는 .NET Framework 패치가 설치됩니다. 또한 이 서비스는 쿠키가 SameSite 속성을 “None”으로 설정한 시나리오를 위해 App Service에서 실행되는 모든 애플리케이션에 적용되는 App Service 호환성 동작을 배포합니다.
App Service 플랫폼의 .NET Core 버전은 이미 SameSite 쿠키 처리에 대한 업데이트를 포함하고 있으며 2020년 1월 서비스 업데이트의 일부로 변경되지 않습니다.
Azure App Service 페이로드는 2020년 1월 중에 배포되며, 퍼블릭 Azure 클라우드, 모든 App Service 환경 및 국가별 클라우드에서 예상 완료 날짜는 2020년 1월 말입니다. 배포에 대한 최신 정보를 참조하세요.
업데이트는 서비스에서 점진적으로 배포되므로 애플리케이션은 배포 기간에 서로 다른 시간에 새 App Service 페이로드에서 실행되기 시작합니다. 개발자는 SCM 사이트에서 App Service 버전을 확인하여 업데이트된 App Service 페이로드에서 애플리케이션이 실행되고 있는지 확인할 수 있습니다. SCM 사이트는 포털의 개발 도구 --> 고급 도구 옵션에서 사용할 수 있습니다. 또는 개발자는 https://사이트-이름.scm.azurewebsites.net URL 형식을 사용하여 애플리케이션의 SCM 사이트로 직접 이동할 수 있습니다.
Windows App Service 사이트의 경우 SCM 사이트의 홈페이지에 Azure App Service 버전이 표시됩니다. 버전이 86.0.7.148 이상인 경우 연결된 애플리케이션이 App Service의 새로 패치된 버전에서 실행됩니다.
Linux App Service 사이트의 경우 SCM 사이트의 상단 메뉴에서 환경 옵션을 클릭하면 모든 사이트의 환경 변수가 포함된 페이지가 반환됩니다. 결과 페이지의 URL 형식은 다음과 같습니다. https://사이트-이름.scm.azurewebsites.net/Env. PLATFORM_VERSION 환경 변수는 현재 App Service 버전을 보여 줍니다. 버전이 86.0.7.148 이상인 경우 연결된 애플리케이션이 App Service의 새로 패치된 버전에서 실행됩니다.
SameSite에 대한 .NET Framework 패치 세부 정보
.NET Framework 4.7.2 패치에 포함된 SameSite 쿠키 처리의 차이점에 대한 자세한 내용은 이 문서에 설명되어 있습니다.
.NET Framework 패치를 설치하면 .NET Framework에서 세션 상태 및 폼 인증의 cookieSameSite 구성 속성 기본값이 “Lax”로 변경됩니다. HttpCookie.SameSite가 “None” 값으로 설정된 경우에도 .NET Framework는 네트워크상에서 SameSite=None 쿠키 속성을 자동으로 보냅니다.
.NET Framework에서의 SameSite 쿠키 처리에 대한 자세한 내용은 이 문서 및 설명서에서 확인할 수 있습니다.
이 문서에서 폼 인증 cookieSameSite 기본값에 대해 자세히 읽어보세요.
이 문서에서 세션 상태 cookieSameSite 기본값에 대해 자세히 읽어보세요.
.NET Core에서의 SameSite 쿠키 처리에 대한 자세한 내용은 이 문서에서 확인할 수 있습니다.
Azure App Service 호환성 동작에 대한 세부 정보
.NET Framework 패치 외에, Azure App Service에는 HTTP/HTTPS 응답에 SameSite 속성이 “None” 값으로 설정된 쿠키 헤더가 포함되고, 요청하는 사용자 에이전트가 최신 2019 SameSite 표준을 지원하지 않으므로 SameSite 속성 “None”을 인식하지 못하는 이전 브라우저의 특정 하위 집합과 일치하는 시나리오를 위해 호환성 동작이 도입되었습니다. 이전 브라우저가 검색되면, Azure App Service는 응답 헤더에서 SameSite=None 쿠키 속성이 검색되는 경우 이 속성을 자동으로 제거합니다.
App Service 호환성 동작의 순수 효과는 이전 브라우저의 특정 하위 집합은 인식할 수 없는 SameSite 값을 수신하지 못하는 반면(이전 브라우저가 SameSite=Strict 동작으로 되돌릴 수 있음), Chrome v80 같은 최신 브라우저는 SameSite=None 쿠키 속성을 수신한다는 점입니다.
App Service가 응답에서 SameSite=None 속성을 제거할 경우를 결정하기 위해 사용하는 특정 검색 논리는 이 문서에 설명된 의사 논리를 따릅니다.
개발자는 SameSite 쿠키 속성에 대해 애플리케이션의 사용 및 의존도(있는 경우)를 검토하고 각 애플리케이션 시나리오에 맞게 사용자 에이전트 검색 및 특수 처리를 사용하여 애플리케이션 논리를 업데이트해야 합니다. App Service 플랫폼의 호환성 동작은 애플리케이션이 최신 브라우저 버전에서 구현된 2019 SameSite 동작을 처리하도록 업데이트되는 동안 개발자를 지원하기 위한 부분적인 완화로만 사용됩니다.
또한 개발자는 쿠키에 SameSite=None 속성이 포함된 경우 추가 브라우저 요구 사항을 검토해야 합니다. 예를 들어 Chrome v80은 또한 쿠키가 Secure 특성으로 표시되고 쿠키가 HTTPS 연결을 통해 흐르는 경우에만 SameSite=None을 적용합니다. 자세한 내용을 참조하세요.
Azure App Service 호환성 동작은 App Service 네트워크 에지 인프라에서 구현됩니다. 이 동작은 사이트에서 사용되는 언어 또는 프레임워크와 관계없이 App Service에서 실행되는 모든 사이트에 대해 활성화됩니다. 이 호환성 기능은 App Service의 Linux 및 Windows 변형에서 실행되는 사이트, App Service Environment 및 Azure App Service의 모든 국가별 클라우드 배포에 대해 작동합니다.