【发布时间】:2020-01-31 00:40:10
【问题描述】:
所以我已经阅读了有关 Chrome 80's cookies defaulting to SameSite=Lax 的信息,并且和你们其他人一样,我现在正在尝试衡量这将对我的网站产生的影响。
我正在运行的网站分为几个子域,每个子域都使用自己的 cookie。它看起来像这样:
-
first-site.domain.com 使用 Cookie1 (
path=/; secure; httponly) -
second-site.domain.com 使用 Cookie2 (
path=/; secure; httponly)
由于这些 cookie 未指定 SameSite 属性,因此它们应该在 Chrome 80 上被视为 Lax,因此应仅限于同站点请求(除非它是顶级导航)。
那么,根据SameSite cookies explained:
如果用户在 your-project.github.io 上并请求来自 my-project.github.io 这是一个跨站请求。
所以当我启用“SameSite 默认 cookie”和“没有 SameSite 的 Cookie 必须是安全的”标志时,我惊讶地发现当 first-site.domain.com 嵌入 second-site.domain.com 在一个框架中,Cookie2 仍然被发送到 second-site.domain.com,这似乎是矛盾的。
我肯定是误会了什么,但此刻,我还是很疑惑。
注意:我已经验证,当我将 second-site.domain.com 嵌入到 anotherdomain.com 的框架中时,浏览器不会发送 cookie (如预期)。
【问题讨论】:
标签: google-chrome cookies samesite