<html>
    <head>
      <base href="https://bugs.webkit.org/">
    </head>
    <body>
      <p>
        <div>
            <b><a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - Navigation from CodePen iframe to CodePen top frame makes CodePen servers think the user is not logged in"
   href="https://bugs.webkit.org/show_bug.cgi?id=233128#c3">Comment # 3</a>
              on <a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - Navigation from CodePen iframe to CodePen top frame makes CodePen servers think the user is not logged in"
   href="https://bugs.webkit.org/show_bug.cgi?id=233128">bug 233128</a>
              from <span class="vcard"><a class="email" href="mailto:chriscoyier@gmail.com" title="Chris Coyier <chriscoyier@gmail.com>"> <span class="fn">Chris Coyier</span></a>
</span></b>
        <pre>
<span class="quote">> > 1) They are definitely logged out. There is a cookie called `cp_session`
> > that just gets wiped out after the link click. <a href="https://d.pr/i/bVoA1A">https://d.pr/i/bVoA1A</a>

> Is the cookie deleted, you say? Is it the server that deletes it or
> overwrites it with a new one?

> What I would assume here is one of these things happening:

> a) The navigation from the iframe to the top frame doesn't carry the
> SameSite=lax cookie and so the resulting page load shows the user as logged
> out. However, a fresh of that page would show the user as logged in again
> because now the SameSite=lax cookie is sent.

> b) The navigation from the iframe to the top frame doesn't carry the
> SameSite=lax cookie and the server deletes/overwrites some state in the
> response based on thinking that the user is not logged in. Even a fresh of
> the page will show the user as logged out because now their login cookie is
> indeed gone or overwritten.</span >

It's `b` here. Refreshing the page the user is still logged out. 


Here's the steps to check it out...

1) Be logged in on CodePen. Accounts are free so I hope that's not too much trouble. Be at some page. Any should do, but here's one: <a href="https://codepen.io/manz/pen/dyzgWbo">https://codepen.io/manz/pen/dyzgWbo</a>

2) Go to a third-party site with an Embedded Pen, like this <a href="https://css-tricks.com/almanac/properties/b/background-image/#demo">https://css-tricks.com/almanac/properties/b/background-image/#demo</a>

3) Click the "Edit on CodePen" link in the upper right of the embed.

4) You'll find yourself logged out on CodePen. If you got back to the page you had open in Step 1 and refresh, you'll see you are logged out there too. No amount of refreshing logs you in. 


<span class="quote">> 
> Some follow-up questions:

> 5) To make sure, is the `cp_session` cookie …
>  a) … just not sent in the navigation but still there on a reload or fresh
> load?
>  b) … deleted by WebKit during the navigation?
>  c) … deleted by the server in the navigational response? Deleted here means
> set to an expiry in the past.
>  d) … overwritten by the server in the navigational response?</span >

I gotta imagine it's b, because if it was our servers, it would manifest in browsers other than Safari. 


<span class="quote">> 6) Are there any cross-site redirects in the navigation or does it go
> directly to the destination site?

> 7) Are there any same-site redirects in the navigation does it got directly
> to the destination page?</span >

To both 6 and 7, no redirects at all, It's just a straight-up anchor link that goes to where it goes. 

<span class="quote">> 
> 8) Can you share the link to reproduce the issue?</span >

See steps above.

Anything else I can dig into lemme know.</pre>
        </div>
      </p>


      <hr>
      <span>You are receiving this mail because:</span>

      <ul>
          <li>You are the assignee for the bug.</li>
      </ul>
    </body>
</html>