因此,我已经阅读了Chrome 80 的 cookie 默认为 SameSite=Lax的信息,并且和你们其他人一样,我现在正试图确定这将对我的网站产生的影响。
我正在运行的网站分为几个子域,每个子域都使用自己的 cookie。它看起来像这样:
- first-site.domain.com使用Cookie1 (
path=/; secure; httponly
) - second-site.domain.com使用Cookie2 (
path=/; secure; httponly
)
由于这些 cookie 没有指定SameSite
属性,因此它们应该被视为Lax
在 Chrome 80 上,因此应该仅限于同站点请求(除非它是顶级导航)。
然后,根据SameSite cookie 解释:
如果用户在your-project.github.io上并从my-project.github.io请求图像, 这就是跨站点请求。
因此,当我启用“SameSite 默认 cookie”和“没有 SameSite 的 Cookie 必须是安全的”标志时,我惊讶地发现当first-site.domain.com将second-site.domain.com嵌入框架时,Cookie2是仍然被发送到second-site.domain.com,这似乎是矛盾的。
肯定是我误会了什么,但此刻,我还是很疑惑。
注意:我已经验证,当我将 second-site.domain.com 嵌入到anotherdomain.com的框架中时,浏览器不会发送 cookie(如预期的那样)。