이런 문제가 생길때마다 라이믹스 기반이 부럽지만

많은 사이트들이 아직 XE 기반이니 어쩔 수 없이 고쳐야하네요 ^^;;

 

라이믹스에서는 samesite 설정이 관리자 쪽에 따로 있어서 문제가 안 되는데

 

PG 등 외부에서 처리 후 되돌아올때 로그인이 풀리는

크롬80 이슈  (  쿠키 의 samesite 문제 때문에 세션이 풀리는 현상이였죠 )

 

이거.. 

XE 에서  samesite=None  으로 강제 처리되게 수정하려면

XE Core 의 어딜 고쳐야할까요?

(  check_csrf="false"  로 될까했는데 이걸로는 안 되서요. cafe24 에서 일괄적으로 cookie 설정을 바꿔주지도 않을듯하고 )

  • Lv16

    https://github.com/rhymix/rhymix/blob/aa78a03b99df9c7deabfa4fb2d498eed067f54c8/common/framework/session.php#L83-L94
    https://github.com/rhymix/rhymix/blob/aa78a03b99df9c7deabfa4fb2d498eed067f54c8/common/framework/session.php#L1223-L1252

    라이믹스는 SameSite 설정 사용시 세션쿠키는 PHP 버전에 따라 cookie.cookie_samesite 설정값을 변경하거나 SameSite 속성을 강제 추가하고 있습니다. 이외 자동로그인 등 기타 쿠키의 경우 내부적으로 사용되는 _setCookie 함수에서 SameSite 처리를 하고 있고요.

    https://github.com/xpressengine/xe-core/blob/develop/classes/context/Context.class.php#L346
    XE는 Context init 함수 세션시작 부분 윗쪽으로 SameSite 설정을 추가하면 될것으로 보입니다. 이외 자동로그인 쿠키 등은 필요에 따라 path 부분에 SameSite를 추가하면 될것이고요.

     

    p.s.) 비공식 업데이트 1.11.11에 추가하는 작업 진행중입니다. 여유 시간에 진행하므로 예상 업데이트 시간은 알 수 없습니다.

  • Lv16 ? Lv8
    답변 감사드립니다.
    안 그래도 라이믹스 소스는 봤었는데, 이걸 XE 어디에 붙여야할까 고민했었는데
    알려주신 부분을 검토해보겠습니다!