<html>
    <head>
      <base href="https://bugs.webkit.org/">
    </head>
    <body><table border="1" cellspacing="0" cellpadding="8">
        <tr>
          <th>Bug ID</th>
          <td><a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - Navigation from CodePen iframe to CodePen top frame makes CodePen servers think the user is not logged in"
   href="https://bugs.webkit.org/show_bug.cgi?id=233128">233128</a>
          </td>
        </tr>

        <tr>
          <th>Summary</th>
          <td>Navigation from CodePen iframe to CodePen top frame makes CodePen servers think the user is not logged in
          </td>
        </tr>

        <tr>
          <th>Product</th>
          <td>WebKit
          </td>
        </tr>

        <tr>
          <th>Version</th>
          <td>WebKit Nightly Build
          </td>
        </tr>

        <tr>
          <th>Hardware</th>
          <td>Unspecified
          </td>
        </tr>

        <tr>
          <th>OS</th>
          <td>Unspecified
          </td>
        </tr>

        <tr>
          <th>Status</th>
          <td>NEW
          </td>
        </tr>

        <tr>
          <th>Severity</th>
          <td>Normal
          </td>
        </tr>

        <tr>
          <th>Priority</th>
          <td>P2
          </td>
        </tr>

        <tr>
          <th>Component</th>
          <td>WebKit Misc.
          </td>
        </tr>

        <tr>
          <th>Assignee</th>
          <td>webkit-unassigned@lists.webkit.org
          </td>
        </tr>

        <tr>
          <th>Reporter</th>
          <td>wilander@apple.com
          </td>
        </tr></table>
      <p>
        <div>
        <pre>This tweet <a href="https://twitter.com/chriscoyier/status/1459304937230417920?s=21">https://twitter.com/chriscoyier/status/1459304937230417920?s=21</a> by Chris Coyier shows in a screencast how clicking to navigate from a cross-site CodePen iframe leads to landing on a CodePen top frame page which shows the user as logged out when they are actually logged in.

Questions to investigate:
1) If the user truly logged out after this navigation or is it just that page load that sees the user as logged out?
2) The iframe obviously will not see the user as logged in since third-party cookies are blocked. Is the iframe changing something in the navigation based on this fact, which in turn makes the landing page believe the user is logged out?
3) Are SameSite cookies at play? We’ve had a couple of bugs historically where SameSite cookie treatment in WebKit differs from Gecko and Chromium for cross-site navigations.
4) Are ServiceWorkers at play? We’ve seen a couple of reports where the combo of SameSite cookies and ServiceWorkers has led to bugs.</pre>
        </div>
      </p>


      <hr>
      <span>You are receiving this mail because:</span>

      <ul>
          <li>You are the assignee for the bug.</li>
      </ul>
    </body>
</html>