Bei Subdomains geht der Cookiemanager immer wieder auf

[clausbde]

Bei Subdomains geht der Cookiemanager immer wieder auf, es wird nur die Hauptdomain in die Cookies geschrieben

Im Prinzip das Gegenteil von #110 - es sind mehrere Subdomains mit dem consent-manager, da der aber nur die Hauptdomain in die Cookies schreibt schmeißt der Browser folgendes raus: Das Cookie "consent_manager" verfügt über keinen gültigen Wert für das "SameSite"-Attribut. Bald werden Cookies ohne das "SameSite"-Attribut oder mit einem ungültigen Wert dafür als "Lax" behandelt.

Die Cookieabfrage wird immer wieder geöffnet.

Ich denke, dass der Browser bereits jetzt Schwierigkeiten bekommt, wenn die Subdomains nicht mitgeschrieben werden (und ist das überhaupt sinnvoll, dies per default vorauszusetzen?)

Die Version 3.0.7 machte das noch nicht, da wurde die Subdomain in die Cookies geschrieben.

Affected versions / Verwendete Versionen REDAXO: 5.15.1 AddOns: consent_manager: 4.1.3

[clausbde]

Nachtrag: Hmmm... im Prinzip klappte es, sobald ich den consent_manager-Cookie der .hauptdomain.com gelöscht habe, dann wurde auch ein Cookie für die Subdomain geschrieben.

Die Frage ist: was passiert, wenn ich mit Haupt-und Subdomain arbeite?

Generell ist mein Problem damit erstmal erledigt. Trotzdem komisch.

Viele Grüße Claus

[aeberhard]

@clausbde Du hast das mit der aktuellsten Version? Gab es evtl. schon vorher ein bestehendes Cookie? Das macht u. U. Probleme. Werde das bei Gelegenheit mal versuchen. .hauptdomain.com sollte eigentlich das Problem mit Subdomains lösen ...

[clausbde]

Ja, das ist die neueste Version. Und ja, meine Vermutung geht auch in Richtung bestehender Cookie.

Aber evtl. bedeutet das, dass sich die Cookies aushebeln, wenn Subdomains und Hauptdomain genutzt werden.

Kurz noch zu den Umständen: Es gibt rel. viele Subdomains, die mit teilweise verschiedenen Versionen vom consent_manager liefen (inzwischen sind alle auf der neuesten Version).

Es gab einen Cookie mit .hauptdomain.com (also mit dem Punkt davor, der ja tatsächlich normalerweise das Problem lösen sollte - allerdings sollten moderne Browser auch ohne Punkt damit klarkommen).

Solange dieser vorhanden war, wurde nach jedem Klick auf einen Consent-Manager-Button diese Seite neu geladen (ForceReload=1) und die Abfrage kam erneut.

Nachdem ich gezielt den Cookie gelöscht habe trat das nicht mehr auf. Leider läuft ausgerechnet die Hauptdomain über ein anderes CMS, so dass ich nur über Umwege entsprechend testen könnte.

Ich habe jetzt mehrere Ansatzpunkte, die ich sukzessive abarbeiten würde :

• Überprüfung der Parameter SameSite und Secure (letzterer war teilweise nicht gesetzt, ersterer wurde laut console als lax definiert, ist aber m.E. zumindest in der neuesten CM-Version auf strict), inzwischen ist SameSite auf strict und secure gesetzt.
• Überprüfung, was auf den Subdomains passiert, wenn ich wieder ein cookie nur mit der Hauptdomain setze
• wenn es bei vorigen Punkt wieder zu einem erneuten Aufruf des CM kommt: Überprüfung der Cookieabfragen

U.U. wäre es vielleicht sinnvoll, im Value noch den (Sub)domainnamen unterzubringen, so dass man ggfs. abgleichen kann.

Ich berichte, sobald ich mehr weiß. Leider bin ich derzeit ein wenig zeitknapp. :)

[aeberhard]

Hallo Claus,

am besten wäre es natürlich wenn das programmtechnisch gefixed werden kann :)

Hier werden die Cookies gelöscht: https://github.com/FriendsOfREDAXO/consent_manager/blob/089424e0a8a062704c5a75f809c6f9d334bf2f6d/assets/consent_manager_frontend.js#L186

Evtl. fehlt da noch eine Version zum löschen der "alten" Cookies.

Wenn Du Zeit hast zum testen dann am besten die consent_manager_frontend.js nach assets/addons/consent_manager/ kopieren und die dortige minimierte JS-Datei überschreiben.

Ich verwende den Consent-Manager selbst ja gar nicht. Und es gibt so viele verschiedene Konstellationen die ich so einfach gar nicht nachvollziehen kann.

Wäre Klasse wenn Du was rausfindest! ;-)

[oioix]

Siehe #317