0

我们正在开发 Chrome 扩展程序

  1. 从没有设置SameSite属性的域中读取 cookie
  2. 将 cookie 写入没有SameSite属性的域

我们在manifest.json中添加了对两个域的权限

我们在 Chrome 浏览器中启用了以下标志,

  • SameSite 默认 cookie
  • 启用删除 SameSite=None cookie
  • 没有 SameSite 的 Cookie 必须是安全的

问题

  1. 即使在启用标志之后,我们也能够读取使用来自其他域的以下值设置的 cookie。这是预期的,如果是这样,为什么?

    • 没有SameSite属性
    • 使用SameSite=strict
  2. 假设一个扩展在具有 X.com 域的站点中设置了没有SameSite属性的 cookie。当网站 (X.com) 是

    • 另一个扩展通过iframe使用
    • 另一个域为 Y.com 的站点通过iframe使用。在这两种情况下,cookie 会与响应一起呈现吗?
  3. 来自扩展的请求是否被视为跨站点请求?

  4. 域中扩展设置的 cookie 的行为如何?这是否类似于来自不同域的网站设置 cookie 时发生的情况?

  5. 对manifest.json中的域具有权限的扩展是否能够从其他域读取 cookie,而不管SameSite值如何?

4

1 回答 1

0

你好,我很确定这不会起作用,因为 chrome 扩展在 cookie 存储之外运行的方式。它将无法读取/写入这些值..

于 2020-01-05T14:45:50.180 回答