login register Sysop! about ME  

2020년 01월 28일 16시 05분 00초,     조회수 : 1252
  제목 : 구글크롬80 베타버전 asp+iframe 보안조치 방법
SEQ : 164229 글쓴이 : ekzjtm2

작성 포맷 : TEXT 모드, 자동 줄바꿈 사용

안녕하세요.
처리가 되지 않아 골치썩는있는 문제가 있어 도움요청드립니다.
웹서비스환경은 윈도우2016서버, IIS10, Classic asp 로 웹사이트 운영중입니다.

크롬80버전 SameSite이슈관련 문제인데요.
정확한 내용은 아래 사이트에 있습니다.
https://sub0709.tistory.com/166

저희사이트에서  전자결제를 iframe로 호출하여 결제하고 returnurl로 결과를 받습니다.
그런데 returnurl에서는 기존 세션값이 변경되는 문제가 있습니다.(유지될때도 있고 변경될때도 있음)

쿠키 생성시 설정 변경 : SameSite=None; Secure  하면 해결된다고 하는데
여러가지 조치를 취했으니 전혀 되지 않습니다.

취해본조치방법으로는 
1. 소스코드내 아래와 같은 방법으로 헤더추가
Response.AddHeader "Set-Cookie", "SameSite=None; Secur; path=/; HttpOnly" 

2. web.config 내용추가
        <system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" sameSite="None" />
<sessionState cookieSameSite="None" />
</system.web>
3. web.config rewrite추가(rewrite 모듈 깔아야 에러안뜸)
        <rewrite>
            <outboundRules>
                <rule name="AddSameSiteCookieFlag">
                    <match serverVariable="RESPONSE_Set-Cookie" pattern="^(.*SessionID)(SameSite=Lax)" />
                    <action type="Rewrite" value="{R:1};SameSite=None" />
                </rule>
            </outboundRules>
        </rewrite>

위와같이 인터넷찾아가며 해봤는데 classic asp는 방법이 틀린지 해결이 되지 않습니다.

IIS10에서 samesite 설정을 none로 설정하는 방법이 있긴한건지요?
맘만 급해서 도움을 요청드립니다.

감사합니다.

  sunwoori80
  2020-01-29(17:51)
크롬관련해서 저도 처리중인데 일단 쿠키를 아래처럼 만드니 iframe 안에서 쓰기/읽기가
되네요.
Response.AddHeader "Set-Cookie", "cookie_name=cookie_value;
SameSite=None;"

개발자도구로 쿠키 정보 확인해보면 SameSite 에 None 으로 잘 표기되어 넘어가더군요

  ekzjtm2
  2020-01-29(19:56)
캐릭 이미지
sunwoori80님 답변감사합니다.
여기는 안되는거 봐선 서버정보차이때문인거 같습니다.
저는 IIS10 윈도우2016 에 .net 4.대인데 어떻게 되는지 알수있을까요.
.net 4.어쩌구 버전부턴 뭐가 어떻다 그런걸 봤기때문에 그 차이일듯 싶어서요.

  maotai
  2020-01-30(08:16)
조치 방법 중 첫번째 소스에 보시면 Secure가 맞는데 Secur로 되어 있습니다. 혹시 이것 때문
에 그런건 아닐까요?

  ekzjtm2
  2020-01-30(09:26)
캐릭 이미지
maotai님 네 저건 제가 오타했는데 제대로 해도 빼도 다 마찬가지라서 제가볼때 서버쪽에 뭐
조치가 되어져야할 문제 같은데 그 방법을 모르겠네요.

  sunwoori80
  2020-01-30(11:35)
ekzjtm2 님
저희 서버 환경은 윈도우2012서버, IIS 8.0 .net프레임워크는 4.5로 설치되어있습니다.

  tsm21
  2020-02-03(14:19)
캐릭 이미지
혹시 처리 하셨나요??samesite 설정이요..저도 지금 그와 관련해서 작업중인데
어떻게 해야 할지 모르겠네요..

  ekzjtm2
  2020-02-17(14:15)
캐릭 이미지
tsm21님
아 오랜만에 접속해보는지라 답변이 늦었는데 제가 실수했었던거 같구.
첫댓글처럼 하니 처리가 되었던거 같네요.
Response.AddHeader "Set-Cookie", "cookie_name=cookie_value;
SameSite=None;"



제목 작성자 날짜 조회
구글크롬80 베타버전 asp+iframe 보안조치 방법 (7) ekzjtm2 2020-01-28 1252

 
 
.NET과 Java 동영상 기반의 교육사이트

로딩 중입니다...

서버 프레임워크 지원 : NeoDEEX
based on ASP.NET 3.5
Creative Commons License
{5}
{2} 읽음   :{3} ({4})