login register Sysop! about ME  

2021년 02월 05일 14시 17분 00초,     조회수 : 247
  제목 : [질문 및 의견수집] 크롬80 업데이트에 따른 iframe (SameSite 쿠키) 아직도 사용하시나요?
SEQ : 164312 글쓴이 : wink73

작성 포맷 : TEXT 모드, 자동 줄바꿈 사용

#질문1.
크롬80 업데이트에 따른 SameSite 쿠키 문제로 인해 
iframe 사용이 수월치 않아졌습니다.
iframe 을 아직도 사용하시나요?

주로 PC에서 
A도메인을 사용하는 상단 GNB사용과 A도메인을 그대로 사용하고자
B도메인을 iframe에 이용하곤 하지만
크롬80 문제로 인해 
iis 서버의 환경을 변경해야 하는 문제가 발생합니다.

"URL 재작성"기능을 통해 
인바운드에서는 https 세팅을 하게 하고
아웃바운드에서는 SameSite 세팅을 해줘야 하는데요, 
이게 아무리 구글링을 하더라도 
마땅한 정답을 찾아내기 쉽지 않더라구요.

쿠키나 세션을 모두 사용할 때 
아무런 문제가 없다면 몰라도.

더군다나 모바일웹의 사용이 잦아지다보니
PC사용량이 주는데다가 
보안 이슈는 갈수록 더욱 강화되는데
이제 iframe 을 탈피해야 하는 게 마땅한 흐름인 것 같은데
다들 이런 경우 어떻게 사용하고 계시는지 궁금합니다.


#2질문2.
현재 관련 질문이 
http://www.taeyo.net/Forum/Content.aspx?TBL=ASP&SEQ=164229

여기에 올려져 있고 답글이 올라와 있긴 합니다.
그런데 딱히 정답이 아닌 것 같긴 합니다.

일단 제가 정리한 내용 다시 올려보겠습니다.

1. 서버에 "Url rewrite 모듈"이 설치되어 있어야 한다.
    1) 마이크로소프트 웹플랫폼 인스톨러를 설치
    http://www.microsoft.com/web/downloads/platform.aspx
    2) "제품 > 서버" 선택 후 URL 재작성 선택하여 설치

2. IIS의 URL Rewrite를 이용하여 HTTPS 리다이렉션 구현
    이름 : Redirect to HTTPS
    URL 검색
    - 요청한 URL : 패턴과 일치
    - 사용 : 정규식
    - 패턴 : (.*)
    - 대/소문자 무시 : 체크
    논리 그룹화 : 모두일치 > 추가 선택
    - 조건 입력 : {HTTPS}
    - 입력 문자열이 다음과 같은 경우 확인 : 패턴과 일치
    - 패턴 : ^OFF$
    - 대/소문자 무시 : 체크
    작업
    작업 유형 : 리디렉션
    작업속성
    - URL 리디렉션 : https://{HTTP_HOST}/{R:1}
    - 쿼리 문자열 추가 : 체크
    - 리디렉션 유형 : 기타 참조(303)

3. IIS 관리자에서 추가된 "Url Rewrite"(URL재작성) 모듈 클릭
    1) 규칙 추가 > 아웃바운드 규칙
    2) 이름 : AddSameSiteCookieFlag
    3) 검색범위 : 서버변수 선택
    4) 변수이름 : RESPONSE_Set-Cookie
    5) 패턴 : ^(.*SessionID)(SameSite=Lax)
    6) 작업속성 : {R:1};SameSite=none;
                       {R:0};SameSite=None; Secure
    7) 적용

    ※ web.config 소스를 오픈하면 
        <rewrite>
        </rewrite> 태그 안에 위 내용이 반영이 되어 있는 것을 확인하실 수 있습니다.

4. 웹소스 상단에 
    Response.AddHeader "Set-Cookie", "cookie_name=cookie_value; SameSite=None; Secure"
    내용이 공통으로 반영되도록 조치합니다.

이게 맞는 내용인지 아직 잘 모르겠습니다.
반영하기 직전입니다.

제가 잘 모르겠는 부분은
3번의 5번 패턴과
3번의 6번 작업속성 부분입니다.
구글링을 해보면 패턴과 작업속성 부분이 제각각이라서 
어떤 걸 적용해야 정상작동하는지를 모르겠습니다.

또한 적용했다가 운영상의 문제가 발생하는 것은 아닐까 싶어
사실 적용하는 것도 쉽지 않은 선택입니다.

가급적이면 iframe 사용하지 않고 가는 것이 좋겠지만
제휴사가 굳이 iframe을 써야겠다고 하면 어쩔 수 없잖아요?

그래서 다른 업체들은 어떻게 하고 있는지 궁금하여 
글 내용 정리하여 올려본 것입니다.

잘 아시는 분들
혹은 관련하여 경험있는 분들의 
기술적인 혹은 운영적인 답변과 제안 댓글로 환영합니다.



제목 작성자 날짜 조회
[질문 및 의견수집] 크롬80 업데이트에 따른 iframe (SameSite 쿠.. wink73 2021-02-05 247

 
 
.NET과 Java 동영상 기반의 교육사이트

로딩 중입니다...

서버 프레임워크 지원 : NeoDEEX
based on ASP.NET 3.5
Creative Commons License
{5}
{2} 읽음   :{3} ({4})