我们正在开发 Chrome 扩展程序
- 从没有设置SameSite属性的域中读取 cookie
- 将 cookie 写入没有SameSite属性的域
我们在manifest.json中添加了对两个域的权限
我们在 Chrome 浏览器中启用了以下标志,
- SameSite 默认 cookie
- 启用删除 SameSite=None cookie
- 没有 SameSite 的 Cookie 必须是安全的
问题
即使在启用标志之后,我们也能够读取使用来自其他域的以下值设置的 cookie。这是预期的,如果是这样,为什么?
- 没有SameSite属性
- 使用SameSite=strict
假设一个扩展在具有 X.com 域的站点中设置了没有SameSite属性的 cookie。当网站 (X.com) 是
- 另一个扩展通过iframe使用
- 另一个域为 Y.com 的站点通过iframe使用。在这两种情况下,cookie 会与响应一起呈现吗?
来自扩展的请求是否被视为跨站点请求?
域中扩展设置的 cookie 的行为如何?这是否类似于来自不同域的网站设置 cookie 时发生的情况?
对manifest.json中的域具有权限的扩展是否能够从其他域读取 cookie,而不管SameSite值如何?