全体
Google ChromeにおけるCookieのデフォルトのクロスドメイン(SameSite)動作変更に対応
Ver.4.7.0 SDB-3203
概要
バージョン80以降のGoogle Chromeにおいて、Cookieのデフォルトのクロスドメイン(SameSite)動作が変更されました。 そのため、下記前提条件を満たす環境では、SmartDBのページが正しく表示されない事象が発生する可能性があります。
これまでのChromeブラウザ(バージョン79まで)では、SameSite属性が未指定の場合は「None」と同じ動作でしたが、バージョン80以降では、「Lax」と同じ動作になります。 「Lax」の場合、外部サイトからのアクセス(iframeでのリクエスト)などに対して、Cookieが送信されません(GETを除く)。 その結果、SmartDB側が認証されていないと判断され、SmartDBのページが正しく表示されなくなります。 Cookieを送信させる場合には、「None」に設定する必要がありますが、これまでのSmartDBでは、その設定を行うことができませんでした。 そこで、Cookieのセキュア属性として、新たにSameSite設定を追加しました。
なお、SameSite属性の設定を「None」にした場合には、Secure属性も付与する必要があります。 Secure属性は、https環境では「true」がデフォルトとなりますが、http環境では「false」となるため、手動で「true」へ変更してください。
下記システム設定の変更は、動的に適用されますが、設定変更より前に作成されたCookieには反映されません。 あらためてSmartDBへログインし直してください。
前提条件
- SameSite Cookie対応が入ったバージョンのChromeブラウザでSmartDBを利用している。
- INSUITE以外のポータルを利用しており、ポータルにSmartDBが埋め込まれている。または、iframeにリンクがはられている。
システム設定
表 Cookieのセキュア属性に関する設定
親要素 | default-values.system.cookie | ||
---|---|---|---|
要素 | 名称 | 初期値 | 説明 |
secure | https環境では"true" http環境では"false" |
true:Cookie「HIBIKI」に対してSecure属性をつける false:Cookie「HIBIKI」に対してSecure属性をつけない |
|
sameSite | なし | SmartDBのcookie「HIBIKI」に対して、SameSite属性を設定します。 設定可能な値:[Strict|Lax|None] ※デフォルトでは設定されず、動作はブラウザ依存となります。 |
|
記述例 | <system.cookie> <sameSite>None</sameSite> </system.cookie> |
制限事項
- Google Chromeブラウザの古いバージョン(バージョン51から66)では、SameSite属性がNoneとなっているCookieがブロックされます。
- 他ドメインのサイト(クロスサイト)に対して、IMP画面とリッチテキスト(CKEditor)をポートレット表示(iframeを使用)することはできません。