Safari no envía cookies incluso después de configurar SameSite = None; Seguro

Nuestra aplicación utiliza cookies para recordar el inicio de sesión del usuario. Cada vez que realizamos una llamada a la API de autenticación, el navegador adjunta la cookie HTTPonly establecida por el servidor con la solicitud de la API y se autentica. Este comportamiento parece estar roto en el safari después del lanzamiento de Mojave.

Leí sobre la seguridad de cookies entre sitios implementada por safari y nuestro equipo de servidores agregó SameSite=None;Secureal configurar la cookie. Incluso después de eso, todavía no funciona.

Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None

Por favor avise o proporcione enlaces de personas que realmente encontraron una solución.

Las versiones de Safari en MacOS 10.14 y todos los navegadores en iOS 12 se ven afectadas por este error, lo que significa que SameSite=Nonese trata erróneamente como SameSite=Strict, por ejemplo, la configuración más restrictiva.

He publicado algunas pautas en las recetas de cookies de SameSite sobre:

• Usar dos conjuntos de cookies para tener en cuenta los navegadores que admiten SameSite=None; Securey los que no.
• Olfatear el agente de usuario para navegadores incompatibles y no servir SameSite=Nonepara esas solicitudes.

Para las aplicaciones codificadas en Ruby (específicamente, Rails, Sinatra, o cualquier cosa sobre Rack), la gema RailsSameSiteCookie resuelve este y otros problemas relacionados bastante bien. El código se lee como una traducción cercana del pseudocódigo en la discusión de Chromium sin las expresiones regulares frágiles.