Implement SameSite cookie policy

- 세션 쿠키, 세션 보안키 등에 SameSite 속성을 적용할 수 있는 기능 추가 (시스템 설정 -> 보안 설정) - 일반적인 사이트는 Lax를 권장함, PG사 연동 오류 등의 경우 None 사용 - None 사용시 크롬 80부터는 SSL 전용 세션으로 지정해야 함 - Rhymix\Framework\Session에서 쿠키 관련 루틴들 정리 - PHP 7.3 이상, 7.2 이하 버전으로 나누어 처리
2026-04-27 22:33:10 +09:00 · 2020-04-21 22:39:10 +09:00 · 2020-04-21 22:39:10 +09:00 · 04bb0493c7
commit 04bb0493c7
parent e33d8569bc
6 changed files with 134 additions and 31 deletions
--- a/modules/admin/admin.admin.controller.php
+++ b/modules/admin/admin.admin.controller.php
@ -689,6 +689,7 @@ class adminAdminController extends admin
 		
 		Rhymix\Framework\Config::set('admin.allow', array_values($allowed_ip));
 		Rhymix\Framework\Config::set('admin.deny', array_values($denied_ip));
+		Rhymix\Framework\Config::set('session.samesite', preg_replace('/[^a-zA-Z]/', '', $vars->use_samesite));
 		Rhymix\Framework\Config::set('session.use_keys', $vars->use_session_keys === 'Y');
 		Rhymix\Framework\Config::set('session.use_ssl', $vars->use_session_ssl === 'Y');
 		Rhymix\Framework\Config::set('session.use_ssl_cookies', $vars->use_cookies_ssl === 'Y');
--- a/modules/admin/admin.admin.view.php
+++ b/modules/admin/admin.admin.view.php
@ -453,6 +453,7 @@ class adminAdminView extends admin
 		Context::set('remote_addr', RX_CLIENT_IP);
 		
 		// Session and cookie security settings
+		Context::set('use_samesite', Rhymix\Framework\Config::get('session.samesite'));
 		Context::set('use_session_keys', Rhymix\Framework\Config::get('session.use_keys'));
 		Context::set('use_session_ssl', Rhymix\Framework\Config::get('session.use_ssl'));
 		Context::set('use_cookies_ssl', Rhymix\Framework\Config::get('session.use_ssl_cookies'));
--- a/modules/admin/lang/en.php
+++ b/modules/admin/lang/en.php
@ -164,6 +164,9 @@ $lang->use_server_push = 'Use HTTP/2 Server Push';
 $lang->use_gzip = 'gzip Compression';
 $lang->delay_session = 'Delay session start';
 $lang->about_delay_session = 'To improve performance when using a caching proxy server such as Varnish, do not issue sessions to visitors until they log in.<br>Selecting this option may interfere with autologin, and visitor counts may become inaccurate.';
+$lang->use_samesite = 'SameSite attribute';
+$lang->use_samesite_empty = 'Do not use';
+$lang->about_use_samesite = 'Set the SameSite attribute for session cookies and session keys.<br>Lax is the recommended setting for most sites. You may need to use None if you are having difficulties integrating with external services such as payment gateways.<br>However, None is only valid when used with SSL-only sessions.';
 $lang->use_session_keys = 'Use session security keys';
 $lang->about_use_session_keys = 'Use additional security keys to guard against session theft. This setting is highly recommended if you don\'t use SSL-only sessions.<br>This setting may cause some users to become logged out.';
 $lang->use_session_ssl = 'Use SSL-only session';
--- a/modules/admin/lang/ko.php
+++ b/modules/admin/lang/ko.php
@ -165,6 +165,9 @@ $lang->use_server_push = 'Server Push 사용';
 $lang->use_gzip = 'gzip 압축';
 $lang->delay_session = '세션 시작 지연';
 $lang->about_delay_session = 'Varnish 등의 프록시 캐싱 서버 사용시 성능 개선을 위해, 로그인하지 않은 사용자에게는 인증 세션을 부여하지 않습니다.<br>이 옵션을 사용하면 자동 로그인이 되지 않으며, 방문자 수 집계가 정확하게 이루어지지 않을 수 있습니다.';
+$lang->use_samesite = 'SameSite 속성 사용';
+$lang->use_samesite_empty = '표기하지 않음';
+$lang->about_use_samesite = '세션 쿠키, 보안키 등에 적용되는 SameSite 속성을 선택할 수 있습니다.<br>대부분의 사이트에는 Lax를 권장하며, 최신 브라우저에서 결제 연동 등에 문제가 있는 경우 None을 선택하시기 바랍니다.<br>단, None을 선택할 경우 SSL 전용 세션을 사용하여야 정상 작동합니다.';
 $lang->use_session_keys = '세션 보안키 사용';
 $lang->about_use_session_keys = '세션 탈취를 방지하기 위한 보안키를 사용합니다. SSL 전용 세션을 사용하지 않을 경우 반드시 보안키를 사용하시기를 권장합니다.<br>사용자 환경에 따라 로그인이 풀리는 문제가 발생할 수 있습니다.';
 $lang->use_session_ssl = 'SSL 전용 세션 사용';
--- a/modules/admin/tpl/config_security.html
+++ b/modules/admin/tpl/config_security.html
@ -48,6 +48,17 @@
 				<p class="x_help-block">{$lang->about_admin_ip_deny}</p>
 			</div>
 		</div>
+		<div class="x_control-group">
+			<label class="x_control-label">{$lang->use_samesite}</label>
+			<div class="x_controls">
+				<label for="use_samesite_strict" class="x_inline"><input type="radio" name="use_samesite" id="use_samesite_strict" value="Strict" checked="checked"|cond="$use_samesite === 'Strict'" /> Strict</label>
+				<label for="use_samesite_lax" class="x_inline"><input type="radio" name="use_samesite" id="use_samesite_lax" value="Lax" checked="checked"|cond="$use_samesite === 'Lax'" /> Lax</label>
+				<label for="use_samesite_none" class="x_inline"><input type="radio" name="use_samesite" id="use_samesite_none" value="None" checked="checked"|cond="$use_samesite === 'None'" /> None</label>
+				<label for="use_samesite_empty" class="x_inline"><input type="radio" name="use_samesite" id="use_samesite_empty" value="" checked="checked"|cond="!$use_samesite" /> {$lang->use_samesite_empty}</label>
+				<br />
+				<p class="x_help-block">{$lang->about_use_samesite}</p>
+			</div>
+		</div>
 		<div class="x_control-group">
 			<label class="x_control-label">{$lang->use_session_keys}</label>
 			<div class="x_controls">