[ASP.NET Core 3.1]瀏覽器嗅探解決部分瀏覽器丟失Cookie問題

[ASP.NET Core 3.1]瀏覽器嗅探解決部分瀏覽器丟失Cookie問題
看了前文的同學們應該都知道，搜狗、360等瀏覽器在單點登錄中反覆重定向，最終失敗報錯。

原因在於，非Chrome80+瀏覽器不識別Cookie上的SameSite=none屬性值,導致認證Cookie在後續請求中被拋棄。

截至2020/3/30號,非Chrome瀏覽器測試包含兩種結果：

case1：可設置cookie的samesite=none， 瀏覽器可讀取該cookie
case2：對cookie設置samesite=none， 瀏覽器不能讀取該cokie
瀏覽器 最新版本號 結果 備註
IE 11 case1 win10
Edge 44.18362.449.0 case1 2020/2/15開始使用chrome內核/70.0.3538.102
Firefox 74 case1
360急速瀏覽器 12.0.1190.0 case1 基於chromium78
搜狗瀏覽器 8.6.1.31812 case2 User-Agent： Chrome/65.0.3314.0
獵豹安全瀏覽器 6.5.115 case2 User-Agent：Chrome/57.0.2987.98
QQ瀏覽器 10.5.3 case1 chromium 70
華爲手機瀏覽器 10.0.6.304 case1
魅族手機瀏覽器 8.5.1 case2
嗯，我之前報的360急速瀏覽器在新版已經更新了Chrome內核，作爲主流的搜狗和獵豹瀏覽器還是使用舊版本Chrome內核，這是要鬧哪樣？

如果Web應用程序打算支持舊內核瀏覽器，則需要實現瀏覽器嗅探。
ASP.NET Core不會幫你實現瀏覽器嗅探，因爲User-Agents值易變且經常更改。

但是Microsoft.AspNetCore.CookiePolicy中的擴展點允許插入瀏覽器嗅探邏輯。

在Startup.Configure中，在調用UseAuthentication或任何寫入cookie的方法之前添加調用UseCookiePolicy的代碼：

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{

if (env.IsDevelopment())
{
    app.UseDeveloperExceptionPage();
}
else
{
    app.UseExceptionHandler("/Error");
    app.UseHsts();
}

app.UseHttpsRedirection();
app.UseStaticFiles();

app.UseRouting();

// 表示ASP.NET Core 啓動Cookie策略

app.UseCookiePolicy();
app.UseAuthentication();
app.UseAuthorization();

app.UseEndpoints(endpoints =>
{
    endpoints.MapRazorPages();
});

}
在Startup.ConfigureServices, 添加Cookie的策略配置代碼：

public void ConfigureServices(IServiceCollection services)
{

services.Configure<CookiePolicyOptions>(options =>
{
    options.MinimumSameSitePolicy = (SameSiteMode)(-1);
    options.OnAppendCookie = cookieContext =>
        CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);
    options.OnDeleteCookie = cookieContext =>
        CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);
});

services.AddRazorPages();

}

private void CheckSameSite(HttpContext httpContext, CookieOptions options)
{

if (options.SameSite == SameSiteMode.None)
{
    var userAgent = httpContext.Request.Headers["User-Agent"].ToString();
    if (MyUserAgentDetectionLib.DisallowsSameSiteNone(userAgent))
    {
        options.SameSite = SameSiteMode.Unspecified;
    }

}

}
上面的例子中，MyUserAgentDetectionLib.DisallowsSameSiteNone 是一個自定義的庫文件，偵測不支持SameSite=None的UserAgent。

ASP.NET Core3.1 對與SameSiteMode新增了一個 Unspecified枚舉值，表示服務端不會對Cookie設置SameSite屬性值， 後面的攜帶Cookie的事情交給瀏覽器默認配置。

具體的偵測代碼如下：

public static bool DisallowsSameSiteNone(string userAgent)
{

// Check if a null or empty string has been passed in, since this
// will cause further interrogation of the useragent to fail.
 if (String.IsNullOrWhiteSpace(userAgent))
    return false;

// Cover all iOS based browsers here. This includes:
// - Safari on iOS 12 for iPhone, iPod Touch, iPad
// - WkWebview on iOS 12 for iPhone, iPod Touch, iPad
// - Chrome on iOS 12 for iPhone, iPod Touch, iPad
// All of which are broken by SameSite=None, because they use the iOS networking
// stack.
if (userAgent.Contains("CPU iPhone OS 12") ||
    userAgent.Contains("iPad; CPU OS 12"))
{
    return true;
}

// Cover Mac OS X based browsers that use the Mac OS networking stack. 
// This includes:
// - Safari on Mac OS X.
// This does not include:
// - Chrome on Mac OS X
// Because they do not use the Mac OS networking stack.
if (userAgent.Contains("Macintosh; Intel Mac OS X 10_14") &&
    userAgent.Contains("Version/") && userAgent.Contains("Safari"))
{
    return true;
}

// Cover Chrome 50-69, because some versions are broken by SameSite=None, 
// and none in this range require it.
// Note: this covers some pre-Chromium Edge versions, 
// but pre-Chromium Edge does not require SameSite=None.
if (userAgent.Contains("Chrome/5") || userAgent.Contains("Chrome/6"))
{
    return true;
}

return false;

}
總結
本文實戰演示在ASP.NET Core擴展點插入瀏覽器嗅探邏輯，解決設備不支持cookie SameSite=none的歷史問題.

https://www.chromium.org/updates/same-site/incompatible-clients
原文地址https://www.cnblogs.com/JulianHuang/p/12596115.html