ログってなんぼ

エンジニアのメモです

SameSite=None; Secure をnginxで付与する方法(Chrome80対応)

developers-jp.googleblog.com

2020年2月にUPDATEが予定されているChrome 80から サードパーティクッキーの読み書きに制限が発生します。

具体的には、SameSiteのデフォルト値がLaxとなります。

SameSiteについては下記が参考になります

tools.ietf.org

例として、コンテンツ内に埋めてもらったimgタグなどを経由してリクエストを受付け、 3rd party cookieを操作するタイプのサービスを担当するエンジニアの方は対応が必要です。

対応自体は単純な改修になるのですが、 フレームワークの都合(一例としてPlay Frameworkのv2.6未満など)で、 ビジネスロジック側でSameSite=Noneを付与しにくいケースでは Nginxの設定でHeaderを付与する方法を検討してみる価値があると思います。

例として

location / {
        proxy_cookie_path / "/; secure; HttpOnly; SameSite=None";
    }

上記のようにproxy_cookie_pathを設定してみるなどの方法です。

参考になれば。