EC-CUBE の SameSite cookie 対応まとめ

Last updated at 2020-07-11Posted at 2020-02-10

EC-CUBE の SameSite cookie 対応がバージョンごとに散乱していて、わかりづらいのでまとめてみます

SameSite cookie とは

標準状態では影響はありません。

しかし、 一部の決済連携や独自カスタマイズで影響の出るケースがあります

詳細は EC-CUBE/ec-cube#4457 をご覧ください。

影響の出るケースでは、以下のような不具合が発生します。

PHP の session_set_cookie_params() 関数は、 PHP7.3未満とそれ以上で振舞いが違うため、PHPバージョンで分岐する必要がある
iOS12, macOS10.14 など、SameSite=None に未対応のブラウザがある。これらのブラウザはリリース当時の SameSite standard draft を厳密に実装しているため、 SameSite=None を Strict と認識する
SameSite=None の場合は、 secure 属性が必須となる

基本的に SSL 必須。今後、 SSL 未対応のサイトでは決済連携できなくなると考えてよいと思われる。

2020年2月17日頃までには、公式パッチがリリースされる予定です。

SameSite=None を未サポートの UA 向けに, SameSite 属性を削除した互換用 cookie を発行する
- UA の仕様により SameSite=None が SameSite=Strict と見なされて cookie が拒否された場合は, 互換用の cookie を読み込む
- ローカル環境等、非SSL環境では SameSite 属性を空にし、 secure 属性を付与しない

EC-CUBE/ec-cube2#374 で修正。
2.4〜2.13 までの対応方法も上記 Pull Request 参照

(以下は3系の古い情報です)

~~PHP7.3未満 :: session.storage.options の cookie.path に '; SameSite=None' を追記し、 cookie.secure を true とする~~
~~PHP7.3以上 :: Symfony/HttpFoundation bundle にパッチを当てる必要がある~~

session.storage.options の cookie.path に '; SameSite=None' を追記し、 cookie.secure を true とする

上記の対応をすると、 localhost など SSL の使用できない開発環境では、セッションが無効となりカートやログインが動作しなくなるため注意。
未対応ブラウザへの対応は個別にする必要がある。
Symfony は setcookie() 関数ではなく、生の header を送信して cookie を設定するため、 PHP7.3 における setcookie() 関数仕様変更の影響を受けない模様

(以下は4系の古い情報です)

Symfony/HttpFoundation bundle のバージョンアップで対応可能になる予定。

それまでは暫定措置として以下のように対応する

app/config/eccube/packages/framework.yaml の cookie.path に '; SameSite=None' を追記し、 cookie.secure を true とする

上記の対応をすると、 localhost など SSL の使用できない開発環境では、セッションが無効となりカートやログインが動作しなくなるため注意。
未対応ブラウザへの対応は個別にする必要がある。
~~Symfony は setcookie() 関数ではなく、生の header を送信して cookie を設定するため、 PHP7.3 における setcookie() 関数仕様変更の影響を受けない模様~~
- Warning が発生するがログイン等は可能な模様(https://github.com/EC-CUBE/ec-cube/issues/4517)

SameSite=None に対応していない環境の検証をしようと試みた。
が、以下の環境で外部サイトから POST されるケースでは、 SameSite=None が Strict と認識されるようなことは無く、 SameSite 属性は無視されて Cookie が拒否されることは無かった

iOS12.4(実機)では、 Cookie が拒否されるのを再現確認しました