Chrome新增的cookie属性SameSite

今天在chrome浏览器中观察请求信息时发现了这样一个警告：

咦，看起来像是阻止了我的 cookie 发送。经过查询方知，原来谷歌为了防止CSRF攻击，已经逐步开始启用 SameSite 这个cookie属性，以更强制的手段来降低 CSRF 的风险。而这个特性从76版本后，就已经开始逐步加入到 chrome 稳定版当中了。我看了下自己的 chrome，赫，都已经 84版了，必然命中这个特性了。

咱们去chrome开发工具里看一下cookie的属性家族。哇看起来，cookie属性家族真是越来越庞大了：

SameSite 是干嘛的

我们来看下 sameSite 到底是个什么鬼东西。从MDN文档可以看到： samesite可以阻止浏览器在跨域请求里携带cookie。

在默认情况下，该属性的值是 Lax，即松懈的意思，这个所谓的松懈相对于以前来说其实并不松懈，它是 只允许 GET 跨域请求携带

另外一个值是 strict，即严格模式，严格标志将阻止cookie被浏览器发送到所有跨域目标网站，即使是常规的GET请求。

怎样绕过这个限制呢

虽然绕过是不安全的。但是有些场景是没有太严格的要求的，例如统计日志数据的 cgi。除了上述2个值之外，还可以将他声明为 none。通过显式声明SameSite = None，开发人员仍然可以不受限制的使用跨域cookie。

浏览器支持情况

从Chrome 76开始，通过启用默认默认cookie标记，该功能将可用。从2020年7月14日开始，此功能将逐步向Stable用户推出。但MacOS上还有BUG(如果设置为none，效果会变成strict)。另外一个bug就是我自己电脑上加上samesite进行设置cookie是无效的，目前还不清楚原因，如果有大佬知道为啥不生效，还请希望大佬赐教。