EC-CUBE3系でのSameSite Cookieの暫定対応方法について
Edit me

概要

  • 2020年2月にリリースされた Chrome 80 より、他サイトからEC-CUBEで構築されたサイトに遷移する場合に、条件によってはEC-CUBEのCookieが送信されなくなり、決済が完了しない等の現象が発生します。この問題に対応するために以下のHot-fixパッチを適用して頂く必要があります。

関連情報

Hot-fixパッチ

注意事項

  • SSL未対応のサイトではこのパッチを適用すると正しく動作しなくなります。SSL未対応のサイトはSSLに対応後、このパッチを適用してください。
  • ローカル開発環境ではこのパッチを適用しないことをおすすめします。適用する場合はローカル環境でもSSLに対応させる必要があります。
  • 今後、SameSite Cookieの設定を環境変数等で設定できるように検討していきます。詳しくは、こちらのIssue #4457 を参照ください。

修正内容

このパッチにより以下の修正が適用されます。

  • 他サイトからPOSTされたときにもセッションキーを保持したCookieが送信されるように セッションキーのCookieに SammeSite=None を設定する。
  • SammeSite=None を設定したCookieを正しく扱えない一部のブラウザーでは決済を利用できないため、以下のようなバージョンアップ促すエラー画面を表示する。

    SammeSite=Noneサポート外のブラウザー対応画面

適用方法

  1. src/Eccube/Application.php に以下の変更を適用する
  2. 以下の2ファイルを配置する
Tags: quickstart