Ab 2020 oder Version 80 für Chome sollten Cookies mit dem SameSite attribute ergänzt werden, damit sie noch funktionieren, respektive vom Browser übermittelt werden. Ich möchte da nun eigentlich SameSite=Strict für alle meine Cookies verwenden. Wie ich festgestellt habe fehlt aber Delphi der Support dieses Cookie Attribute! (siehe Web.HTTPApp.pas TCookie)

Hier eine Beschreibung was SameSite genau ist:
https://web.dev/samesite-cookies-explained/

Nun habe ich versucht das mit SetCustomHeader zu lösen. Da alle Cookies den selben Headernamen "Set-Cookie" erhalten, geht das nicht. Als Resultat bekomme ich so immer nur ein einziges Cookie, da dort der Wert über den Namen "Set-Cookie" immer ersetzt wird. Mit SetCustomeHeader ist das also auch nicht lösbar. Direktes Abfüllen von CustomHeaders geht auch nicht, weil da wieder mit Name/Values gearbeitet wird und ich so auch immer nur den Wert des ersten Cookie Eintrags für jedes "Set-Cookie" bekomme.

Wie soll ich das nun lösen? Sehe da absolut keine Möglichkeit. Ändern der TCookie Klasse kommt auch nicht in Frage, da so fast alle Web Units, durch die Änderung am Interface, inkompatibel werden.

Bin echt geschockt, dass das in der aktuellen Delphi Verison noch fehlt. Das Cookie Attribute SameSite ist ja schon etwas älter. Dass das in einer alten D7 Version noch nicht enthalten ist, vestehe ich ja noch, aber dass das selbst in der aktuellen Version noch fehlt?!

Hi Rolf,

ich bin gerade auch darüber gestolpert, weil mein Firefox mich im Debug-Fenster warnt, dass er meine Kekse zukünftig nicht mehr akzeptiert, wenn ich nicht ein SameSite-Attribut setze.

Da ich gesehen habe, dass das selbst in der 10.4 noch immer nicht enthalten ist, wäre die Frage, ob du zwischenzeitlich einen funktionierenden Workaround gefunden hast?

Wenn eine Subscription bei EMBT voirhanden ist evtl. mal einen offiziellen Supportfall dort aufmachen.
Evtl. wissen die noch was...

Stimmt, ein Ticket aufzumachen, wäre noch eine Möglichkeit. Ich habe bei mir jetzt erstmal die größte Dramatik rausbekommen, indem ich das Cookie als "Secure" kennzeichne (es wird im produktiven Einsatz ja eh über https gearbeitet), dann warnt der Browser nicht mehr.

Ein anderer Workaround, den ich jetzt schon getestet habe, aber weil das obige ja funktioniert, jetzt noch nicht scharf geschaltet habe, wäre es, die neue ID auf anderem Weg an den Client zu senden und dann vom Client aus per Javascript zu setzen. So lässt sich dann auch problemlos das SameSite-Attribut setzen.

Du kannst das so mache wie ich im Report gemeldet habe, nur ist das keine schöne Lösung, weil man da an den Originalsourcen herumbasteln muss. Leider ist der TCookie Code so unsauber programmiert, dass da garnichts virtual ist. Wäre da GetHeaderValue virtual, wäre es relativ einfach zu lösen gewesen, aber so wie es aktuell ist, kommt man nicht drummherum in den Quellsourcen von Delphi Anpassungen zu machen und eine eigegne TCookie Klasse zu verrweden. Direkt im TCookie kann man auch nichts anpasen, da das sonst zu inkompatiblen (Interface) Units führt.

An den Stellen in der Orignalsource wo TCookie verwendet wird muss nun diese neue Klasse benutzen. Weiss akteull nciht mehr genau wo und was ich da genau geändert habe. Müsste das zuerst neu zusammen suchen.

Falls es noch wen interessiert oder jemand per Google hier bei dem Thema landet: Emba hat in 10.4.2 versucht, "SameSite" für Cookies umzusetzen. Zumindest aber, wenn man das für Web-Server-Anwendungen (WebBroker) nutzt, bringt das nichts, weil dort zum Senden der Antwort Indy benutzt wird und Indy verschluckt dieses neue Attribut wieder, weil es dort noch immer nicht bekannt ist.

Ich hab mal einen neuen QP-Eintrag dazu erstellt.