Azure App Service: SameSite-verwerking van cookies en de .NET Framework 4.7.2-patch
Publicatiedatum: 18 januari, 2020
Als onderdeel van de update van januari 2020 voor Azure App Service worden .NET Framework-patches geïnstalleerd die de werking van .NET Framework-apps bij de SameSite-cookie-eigenschap bijwerken. De service implementeert ook een App Service-compatibiliteitsgedrag dat van toepassing is op alle toepassingen die op App Service worden uitgevoerd voor scenario's waarbij een cookie de eigenschap SameSite heeft ingesteld op Geen.
.NET Core-versies op het App Service-platform bevatten al updates voor SameSite-cookieverwerking en worden niet gewijzigd als onderdeel van de service-update van januari 2020.
De Azure App Service-payload wordt in januari 2020 geïmplementeerd en is naar verwachting aan het einde van januari 2020 voltooid op de openbare Azure-cloud, alle App Service-omgevingen en nationale clouds. Zie de meest recente informatie over de implementatie.
Omdat de updates incrementeel worden geïmplementeerd in de service, worden toepassingen op verschillende momenten tijdens de implementatieperiode op de nieuwere App Service-payload uitgevoerd. Ontwikkelaars kunnen bepalen of de toepassingen op de bijgewerkte App Service-payload worden uitgevoerd door de versie van App Service op de SCM-site te controleren. De SCM-site is beschikbaar in de portal via de optie Hulpprogramma's voor ontwikkelaars --> Geavanceerde Hulpprogramma's. Ontwikkelaars kunnen ook rechtstreeks naar de SCM-site navigeren voor een toepassing met behulp van de volgende URL-indeling: https://uw-sitenaam-hier.scm.azurewebsites.net.
Op de startpagina van de SCM-site wordt de Azure App Service-versie weergegeven voor Windows App Service-sites. Als de versie 86.0.7.148 (of hoger) is, wordt de bijbehorende toepassing uitgevoerd op de patch voor de nieuwe versie van App Service.
Als u voor Linux App Service-sites op de optie Omgeving in het bovenste menu van de SCM-site klikt, wordt een pagina met alle omgevingsvariabelen van de sites geretourneerd. Op de resulterende pagina wordt een URL weergegeven met de volgende indeling: https://uw-sitenaam-hier.scm.azurewebsites.net/Env. In de omgevingsvariabele PLATFORM_VERSION wordt de huidige versie van App Service weergegeven. Als de versie 86.0.7.148 (of hoger) is, wordt de bijbehorende toepassing uitgevoerd op de patch voor de nieuwe versie van App Service.
Details van de .NET Framework-patch voor SameSite
Specifieke informatie over verschillen in de verwerking van SameSite-cookies die is opgenomen in de .NET Framework 4.7.2-patch wordt beschreven in dit artikel.
Als de .NET Framework-patch is geïnstalleerd, worden de standaardinstellingen voor de configuratie-eigenschap cookieSameSite voor Sessiestatus en Formulierverificatie gewijzigd in Lax. Met .NET Framework wordt ook automatisch de cookie-eigenschap SameSite=None verzonden wanneer HttpCookie SameSite is ingesteld op de waarde Geen.
Meer informatie over de verwerking van SameSite-cookies met .NET Framework is beschikbaar in dit artikel en in onze documentatie.
Lees meer over de standaard voor formulierverificatie van cookieSameSite in dit artikel.
Lees meer over de standaard voor de sessiestatus van cookieSameSite in dit artikel.
Meer informatie over de verwerking van SameSite-cookies met.NET Core is beschikbaar in dit artikel.
Details over Azure App Service-compatibiliteitsgedrag
Naast de .NET Framework-patch heeft Azure App Service een compatibiliteitsgedrag geïntroduceerd voor het scenario waarbij een HTTP/HTTPS-antwoord een cookieheader bevat met de eigenschap SameSite die is ingesteld op de waarde Geen en de aanvragende gebruikersagent overeenkomt met een specifieke subset van oudere browsers die de nieuwere 2019 SameSite-standaard niet ondersteunen en de eigenschap SameSite Geen niet herkent. Wanneer er een oudere browser wordt gedetecteerd, wordt de eigenschap SameSite=None cookie automatisch door Azure App Service verwijderd als deze wordt gedetecteerd in de antwoordheaders.
Het effect van het compatibiliteitsgedrag van App Service is dat een specifieke subset van oudere browsers geen niet-herkende SameSite-waarde ontvangt (waardoor oudere browsers kunnen worden overgeschakeld op SameSite=Strict behavior), terwijl nieuwere browsers zoals Chrome v80 de eigenschap SameSite=None cookie ontvangen.
De specifieke detectielogica die door App Service wordt gebruikt om te bepalen wanneer de eigenschap SameSite=None moet worden verwijderd, volgt de pseudo-logica die in dit artikel wordt beschreven.
Ontwikkelaars moeten het gebruik en de afhankelijkheid van hun toepassingen (indien van toepassing) op de SameSite-cookie-eigenschap beoordelen en de toepassingslogica bijwerken met detectie van de gebruikersagent en speciale verwerking, afhankelijk van het scenario van elke toepassing. Het compatibiliteitsgedrag van het App Service-platform is alleen bedoeld als een gedeeltelijke risicobeperking om ontwikkelaars te helpen terwijl toepassingen worden bijgewerkt om het 2019 SameSite-gedrag te verwerken dat is geïmplementeerd in nieuwere versies van de browser.
Ontwikkelaars moeten ook aanvullende browservereisten controleren wanneer cookies de eigenschap SameSite=None bevatten. Chrome v80 levert bijvoorbeeld alleen SameSite=None als de cookie ook is gemarkeerd met het kenmerk Secure en de cookie stroomt via een HTTPS-verbinding. Zie meer details.
Het Azure App Service-compatibiliteitsgedrag wordt geïmplementeerd op de infrastructuur van het App Service-netwerk. Het gedrag is actief voor alle sites die worden uitgevoerd op App Service, ongeacht de taal of het framework dat door de site wordt gebruikt. De compatibiliteitsfunctionaliteit werkt voor sites die worden uitgevoerd op zowel de Linux-als Windows-variaties van App Service, voor App Service-omgevingen en voor alle nationale cloudimplementaties van Azure App Service.