Hallo,
ich habe hier WE 9.1.1 mit PHP 7.3.33.
Der Cookie PHPSESSID wird bei einem webEdition Dokument mit SameSite=Strict erstellt.
Rufe ich ein php Dokument außerhalb von webEdition auf der selben Domain und Server auf, wird der PHPSESSID mit SameSite=none angelegt, so wie es sein soll.
Wieso erzeugt WebEdition die Session mit Strict?
Wie kann ich das einstellen?
Mit htaccess (Header edit Set-Cookie ^(.*)$ $1;SameSite=None;Secure)
und php (ini_set('session.cookie_samesite', 'none');)
habe ich es bereits erfolglos versucht.
PHPSESSID Cookie Problem mit SameSite
Re: PHPSESSID Cookie Problem mit SameSite
Wenn man <?php session_set_cookie_params(array('samesite' => 'lax')); ?> vor das session_start setzt, funktioniert es wieder.
Ist aber trotzdem blöd, dass webEdition das einfach ändert.
Ist aber trotzdem blöd, dass webEdition das einfach ändert.
Re: PHPSESSID Cookie Problem mit SameSite
Habe das Problem nach langer Suche gefunden. In der /webEdition/we/include/we.inc.php wird in Zeile 58 session_set_cookie_params(['secure' => $https, 'httponly' => true, 'samesite' => 'strict']);
gesetzt.
Das habe ich nun geändert auf 'lax'.
Wieso werden die Session Einstellungen seitens webEdition verändert?
gesetzt.
Das habe ich nun geändert auf 'lax'.
Wieso werden die Session Einstellungen seitens webEdition verändert?
Re: PHPSESSID Cookie Problem mit SameSite
weil es vielfach nicht gesetzt ist und ein Sicherheitsrisiko ist. Warum willst du denn das Cookie über die Domain-Grenze senden?
webEdition-Kern-Entwickler
Re: PHPSESSID Cookie Problem mit SameSite
Dann setzt es doch wenigstens auf lax.
Bei vielen Zahlartanbietern wird man von extern verlinkt / weitergeleitet zurück zur eigenen Seite und dadurch ist dann bei Strict die ganze Session weg.
Bei vielen Zahlartanbietern wird man von extern verlinkt / weitergeleitet zurück zur eigenen Seite und dadurch ist dann bei Strict die ganze Session weg.
Re: PHPSESSID Cookie Problem mit SameSite
ich denke wir können die Einstellung aus der php.ini nutzen, wenn sie nicht leer ist.
webEdition-Kern-Entwickler
Re: PHPSESSID Cookie Problem mit SameSite
die Einstellung sollte in der php.ini angepaßt werden.
Btw. du hast da die falsche Stelle geändert.
Btw. du hast da die falsche Stelle geändert.
webEdition-Kern-Entwickler
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast