Rolf B: externe js-Datei mit PHP-Elementen in ein ein einem Iframe laufenden Skript einbinden

Beitrag lesen

Hallo klawischnigg,

danke für den Problemhinweis. Das hatte ich mal irgendwann gelesen, aber nicht im Kopf behalten.

Ich versuche es nochmal mit eigenen Worten zu schildern, um zu prüfen, ob ich das Problem jetzt verstanden habe. Der hier hat mir sehr dabei geholfen.

Ich war erstmal verwirrt, weil ich dachte, dass deine /index.php (oder wie auch immer) eine Session erzeugt, die aber beim Abruf der /content/dingsbums.js.php nicht mehr da ist. Das darf aber durch SameSite selbst in einem iframe nicht beeinflusst werden, weil das ein first-party Zugriff ist. Oder?

Anders ist es mit dem Laden des iframe. SameSite=Lax überträgt Cookies nur noch in genau zwei Fällen: beim direkten Navigieren zur Seite, und beim Verzweigen zur Seite über ein Form mit method="get". Ein Form zu einer fremden Domain posten, eine fremde Domain iframen, Ajax-Gets und sogar das Laden von Bildern von einer Fremddomain überträgt Lax-Cookies nicht mehr. Und das bedeutet: Wenn da eine gespeicherte Session war, dann ist sie für deine /index.php bereits nicht mehr vorhanden. Und das würde dann erklären, warum sie auch der .js.php fehlt.

Stimmt das so?

Felix,

nach dem, was ich jetzt gelernt habe, ist das kein Chromia-Bug, sondern eine Trödelei im Firefox! Die Spec wurde nämlich geändert, und SameSite=Lax ist der neue Default. Die Chromia setzen das um, Firefox zockelt hinterher.

Rolf

--
sumpsi - posui - obstruxi