我们有一个使用 IdentityServer3 利用混合流构建的安全应用程序。许多其他 API 和前端应用程序连接到这个中央安全应用程序。
我们最近了解到,Chrome 80 中引入的 SameSite cookie 设置会SameSite=Lax
通过默认设置选项而导致问题,但是我尝试使用 Chrome 80 的测试版(前端应用程序和安全性之一)来模拟此错误应用程序,没有看到任何错误。
Chrome 80 Beta 上没有 SameSite 设置的 cookie 屏幕截图
什么样的请求会导致这个错误?