SameSite cookie の HotFix を適用すると Warning が発生する

[nanasess]

概要(Overview)

SameSite cookie 対応の Hot fix を適用すると、以下の warning が発生する場合がある

[2020-04-16 12:13:32] php.WARNING [ec486dcf] [21a2270] [N/A] [Symfony\Component\Debug\ErrorHandler:handleError:532] - Warning: Cookie paths cannot contain any of the following ',; \t\r\n\013\014' {"exception":"[object] (ErrorException(code: 0): Warning: Cookie paths cannot contain any of the following ',; \\t\\r\\n\\013\\014' at /var/www/html/vendor/symfony/http-foundation/Session/Storage/Handler/AbstractSessionHandler.php:162)"} [POST, /admin/login, 172.22.0.1, https://localhost:4430/admin/login, Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1 Safari/605.1.15]

APP_ENV=dev の環境では、 ContextException となるため、管理画面ログインできない。
APP_ENV=prod の環境では、 Warning のログが出力されるが、管理画面ログイン等は可能。

期待する内容(Expect) or 要望 (Requirement)

Warning 等が発生せず、 cookie 属性 SameSite=None が付与される

再現手順(Procedure)

SameSite Cookie Hotfix を適用後、以下の箇所で Warning が発生するのを確認

• 管理画面ログイン
• 本会員登録URL

session_regenerate_id() がコールされたタイミングで発生する模様

環境 (environment)

• EC-CUBE: 4.0.3
• PHP: 7.3.14(Docker)
• DB:
  • PostgreSQL 10.12

関連情報 (Ref)

• Chrome80のSameSiteの影響で3Dセキュア等を利用する場合に購入に失敗する #4457

[nanasess]

session_regenerate_id() がコールされたタイミングで発生する模様

session_start() は ini_get('session.cookie_path') の値を元に、\SessionHandler クラスによってセッションが開始される。
しかし、 session_regenerate_id() は、 setcookie() 関数を経由してセッションIDが再生成されるため、 PHP7.3 における setcookie() 関数の仕様変更の影響を受けてしまう