2

我最近升级到 Chrome 80 并在chrome://flags. 在本地开发时,我的服务器框架设置为发出具有该SameSite=None属性的身份验证 cookie。暂时我没有启用 SSL。

现在我想知道,Chrome 怎么会允许这些,因为如果我正确理解了政策,那么SameSite=None无论环境如何,所有 cookie 都必须是安全的?

在此处输入图像描述

在此处输入图像描述

4

1 回答 1

2

是的,您只能使用 进行SameSite=None设置Secure。所以,我认为如果你的开发环境中没有 SSL,你不应该设置这些属性中的任何一个。

新行为来自以下两者:

  • chrome://flags/#same-site-by-default-cookies
  • chrome://flags/#cookies-without-same-site-must-be-secure

您可以检查您的浏览器是否正在执行https://samesite-sandbox.glitch.me上的完整行为

于 2020-02-07T11:24:43.583 回答