webEdition - Forum

Hallo,

ich habe hier WE 9.1.1 mit PHP 7.3.33.
Der Cookie PHPSESSID wird bei einem webEdition Dokument mit SameSite=Strict erstellt.
Rufe ich ein php Dokument außerhalb von webEdition auf der selben Domain und Server auf, wird der PHPSESSID mit SameSite=none angelegt, so wie es sein soll.
Wieso erzeugt WebEdition die Session mit Strict?
Wie kann ich das einstellen?
Mit htaccess (Header edit Set-Cookie ^(.*)$ $1;SameSite=None;Secure)
und php (ini_set('session.cookie_samesite', 'none');)
habe ich es bereits erfolglos versucht.

Wenn man <?php session_set_cookie_params(array('samesite' => 'lax')); ?> vor das session_start setzt, funktioniert es wieder.
Ist aber trotzdem blöd, dass webEdition das einfach ändert.

Habe das Problem nach langer Suche gefunden. In der /webEdition/we/include/we.inc.php wird in Zeile 58 session_set_cookie_params(['secure' => $https, 'httponly' => true, 'samesite' => 'strict']);
gesetzt.
Das habe ich nun geändert auf 'lax'.
Wieso werden die Session Einstellungen seitens webEdition verändert?

weil es vielfach nicht gesetzt ist und ein Sicherheitsrisiko ist. Warum willst du denn das Cookie über die Domain-Grenze senden?

Dann setzt es doch wenigstens auf lax.
Bei vielen Zahlartanbietern wird man von extern verlinkt / weitergeleitet zurück zur eigenen Seite und dadurch ist dann bei Strict die ganze Session weg.

ich denke wir können die Einstellung aus der php.ini nutzen, wenn sie nicht leer ist.

die Einstellung sollte in der php.ini angepaßt werden.
Btw. du hast da die falsche Stelle geändert.