kcp 크롬 세션초기화증상 문의
본문
kcp에 문의했더니 이렇게 답변이왔는데요... 제머리로 해결이 안됩니다ㅠㅠ 자세하게 설명해주실수 있을까요? 영카트 버전이 5.1.18입니다.
kcp답변입니다.
===============================================
크롬 세션 초기화 증상 관련하여 samesite 속성 지정 안내 드립니다.
당사에서는 세션을 사용하지 않기 때문에, 가맹점에서 사용하시는 세션 설정을 수정해주셔야 합니다.
크롬브라우저 80 버전부터 “None → Lax” 로 변경될 예정이었던 samesite 기본값 설정이
2020년 8월 11일 부로 80 버전 이상의 모든 크롬 브라우저에 대해 100% 적용 되었습니다.
이에 따라 제3자 도메인에서 요청을 받을 때(크로스사이트) 쿠키도 차단되어
세션이 유지되지 않는 증상이 발생되므로 명시적으로 ‘SameSite=None; Secure’ 을 지정해주셔야 합니다.
이 사항은 https://admin8.kcp.co.kr/> 공지사항(2020.01.29 작성)에 확인 가능하시며, 공지사항 내용을 아래와 같이 전달 해드립니다.
가. 서비스 영향도 예상
- Chrome브라우저 기반의 KCP 인증/결제를 포함한 모든 WEB 서비스 (PC/Mobile 공통)
- 도메인이 서로 다른 사이트간 POST 방식 이동 시 쿠키 전달 불가.
- KCP WEB 서비스 중 POST 방식으로 가맹점 Return URL호출시 오류 발생 가능. (쿠키 사용 가맹점에 한함.)
나. 협조 사항
- 쿠키를 사용하는 가맹점인 경우
- 쿠키 생성 시 SameSite 속성 지정 (기타 언어, 라이브러리, 프레임워크 적용 시 참고링크 확인 바랍니다.)
e.g.
document.cookie = ’cross-site-cookie=bar; SameSite=None; Secure’;
- Same-site 쿠키가 cross-site 요청 위조 (CSRF) 공격 같은 위협에 불필요하게 노출되어,
Chrome 80부터 SameSite 속성을 지정하지 않을 경우 쿠키를 SameSite=Lax로 설정함.
답변 3
크롬 80,90 영카트 패치를 진행하셔야 합니다.
https://sir.kr/co_notice/1299 - 크롬80
https://sir.kr/g5_pds/5735 - 크롬90
참고해서 패치를 진행하시면 될거 같습니다.
하나씩 순차적으로 패치하시면됩니다.
Samesite 제대로 적용이 되어 있지 않아 발생되는거라 해당 부분을 패치하기 어렵다면 위 부분만이라도 적용을 하셔서 진행하시면 되십니다.
만약 해당 부분이 잘 안되신다면 쪽지나 제작의뢰로 진행하셔야 할듯 합니다.