別ドメインから遷移した際にセッションが消えるようにみえた原因

ドメイン A → ドメイン B → ドメイン A の画面遷移をするサイトでドメイン A に POST で戻ってきた際に、保存していたセッションが取得できない事象に遭遇した。

cookie の SameSite 属性が原因だった。

• chrome 80 からは Lax がデフォルトになっている
• 別ドメインから POST で遷移した際に、 cookie を使用するには None を指定する必要がある
• None にした場合には、 Secure 属性をつける必要がある
  • HTTPS でのみ動作する
• chrome では Lax でも２分間であれば cookie を送信できる
  • 今後変更になる可能性あり

symfony での対応方法

参考