PHPSESSID Cookie Problem mit SameSite

Fragen und Infos zur Installation & Update von webEdition.
frog0815
Member
Beiträge: 36
Registriert: Mo 7. Apr 2014, 14:25

PHPSESSID Cookie Problem mit SameSite

Beitragvon frog0815 » Mo 4. Apr 2022, 12:36

Hallo,

ich habe hier WE 9.1.1 mit PHP 7.3.33.
Der Cookie PHPSESSID wird bei einem webEdition Dokument mit SameSite=Strict erstellt.
Rufe ich ein php Dokument außerhalb von webEdition auf der selben Domain und Server auf, wird der PHPSESSID mit SameSite=none angelegt, so wie es sein soll.
Wieso erzeugt WebEdition die Session mit Strict?
Wie kann ich das einstellen?
Mit htaccess (Header edit Set-Cookie ^(.*)$ $1;SameSite=None;Secure)
und php (ini_set('session.cookie_samesite', 'none');)
habe ich es bereits erfolglos versucht.

frog0815
Member
Beiträge: 36
Registriert: Mo 7. Apr 2014, 14:25

Re: PHPSESSID Cookie Problem mit SameSite

Beitragvon frog0815 » Mo 4. Apr 2022, 13:06

Wenn man <?php session_set_cookie_params(array('samesite' => 'lax')); ?> vor das session_start setzt, funktioniert es wieder.
Ist aber trotzdem blöd, dass webEdition das einfach ändert.

frog0815
Member
Beiträge: 36
Registriert: Mo 7. Apr 2014, 14:25

Re: PHPSESSID Cookie Problem mit SameSite

Beitragvon frog0815 » Mo 4. Apr 2022, 16:38

Habe das Problem nach langer Suche gefunden. In der /webEdition/we/include/we.inc.php wird in Zeile 58 session_set_cookie_params(['secure' => $https, 'httponly' => true, 'samesite' => 'strict']);
gesetzt.
Das habe ich nun geändert auf 'lax'.
Wieso werden die Session Einstellungen seitens webEdition verändert?

mokraemer
Senior Member
Beiträge: 3486
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: PHPSESSID Cookie Problem mit SameSite

Beitragvon mokraemer » Mo 4. Apr 2022, 21:30

weil es vielfach nicht gesetzt ist und ein Sicherheitsrisiko ist. Warum willst du denn das Cookie über die Domain-Grenze senden?
webEdition-Kern-Entwickler

frog0815
Member
Beiträge: 36
Registriert: Mo 7. Apr 2014, 14:25

Re: PHPSESSID Cookie Problem mit SameSite

Beitragvon frog0815 » Di 5. Apr 2022, 09:29

Dann setzt es doch wenigstens auf lax.
Bei vielen Zahlartanbietern wird man von extern verlinkt / weitergeleitet zurück zur eigenen Seite und dadurch ist dann bei Strict die ganze Session weg.

mokraemer
Senior Member
Beiträge: 3486
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: PHPSESSID Cookie Problem mit SameSite

Beitragvon mokraemer » Di 5. Apr 2022, 14:59

ich denke wir können die Einstellung aus der php.ini nutzen, wenn sie nicht leer ist.
webEdition-Kern-Entwickler

mokraemer
Senior Member
Beiträge: 3486
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: PHPSESSID Cookie Problem mit SameSite

Beitragvon mokraemer » Fr 8. Apr 2022, 10:58

die Einstellung sollte in der php.ini angepaßt werden.
Btw. du hast da die falsche Stelle geändert.
webEdition-Kern-Entwickler


Zurück zu „webEdition Installation & Update“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste