1

我为我的公司维护一个旧的 ASP 站点。

我们有两个不同的域,A 和 B。域 B 出现在 iFrame 中,我们收到了 SameSite 警告。

该解决方案似乎涉及在标题中添加“SameSite=None; Secure”。

我添加了这些值,它们出现在 Chrome 开发工具中: 在此处输入图像描述

尽管发生了变化:

  • 警告仍然出现。
  • 启用后,SameSite 实验功能仍会阻止主机站点上的 cookie。

有人知道我在这里可能做错了什么吗?

4

1 回答 1

1

您所显示的有两个 cookie,一个带有会话 ID,另一个名称为 SameSite。这些都没有任何 SameSite 属性(因此 SameSite 列下的空格)。

您不应该为 SameSite=None 设置单独的 cookie。SameSite 是一个 cookie 属性,用于附加到它所引用的 cookie。

你使用它的方式是这样的: Set-Cookie: sessionid=12345; SameSite=None; Secure. 请注意,这是一个单独的 Set-Cookie 标头。如果您使用两个单独的 Set-Cookie 行,浏览器会将其解释为两个单独的 cookie,这不是您想要的。

于 2020-01-29T23:46:07.270 回答