问题如图所示:
红色框的域名为框架的主要域名,黄色框是页面内嵌入的两个iframe的域名。红色域名登录以后cookie信息无法写入黄色域名下面,导致黄色域名下面的接口请求失败。
原因:
Chrome 某个版本开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。并将未声明 SameSite 值的 Cookie 默认设置为SameSite=Lax Cookie。
(关于SameSite详情可参考阮一峰文章:http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html)
解决方法:
前往 chrome://flags,通过禁用“SameSite by default cookies”和“Cookies without SameSite must be secure”功能开关,修改后点击Relaunch重新启动即可。如下图所示:
拓展知识:
1.Cookie 的 SameSite 属性
2.SameSite小识(Cookie携带的场景)
3.同站 和 同源 你理解清楚了么?