Google Chrome 83版本后iframe内嵌页面cookie问题

Google Chrome 83版本后iframe内嵌页面cookie问题

Chrome 51 开始，浏览器的 Cookie 新增加了一个 SameSite 属性，用来防止 CSRF 攻击和用户追踪。Cookie 的SameSite属性是用来限制第三方 Cookie，从而减少安全风险。

Chrome更新83+版本后，出于安全考虑，浏览器默认禁止了内嵌，比如：当前网页有一个 GitHub 链接，用户点击跳转就不会带有 GitHub 的 Cookie，跳转过去总是未登陆状态。

当出现这类情况时，可以设置 SameSite 的值为 None ，不过，前提是必须同时设置 Secure 属性（Cookie 只能通过 HTTPS 协议发送），否则无效。

• 下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None

• 下面的设置有效。

Set-Cookie: widget_session=abc123; SameSite=None; Secure

或者是通过浏览器禁用：

在浏览器地址输入 chrome://flags/#same-site-by-default-cookies 进入SameSite设置。

SameSite-cookie.png

将SameSite by default cookies 的 default 修改为 Disabled 再重启即可。

relaunch.png

参考链接：
http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

神链接：
https://www.jianshu.com/p/7fb032cf2a98