我最近升级到 Chrome 80 并在chrome://flags
. 在本地开发时,我的服务器框架设置为发出具有该SameSite=None
属性的身份验证 cookie。暂时我没有启用 SSL。
现在我想知道,Chrome 怎么会允许这些,因为如果我正确理解了政策,那么SameSite=None
无论环境如何,所有 cookie 都必须是安全的?
我最近升级到 Chrome 80 并在chrome://flags
. 在本地开发时,我的服务器框架设置为发出具有该SameSite=None
属性的身份验证 cookie。暂时我没有启用 SSL。
现在我想知道,Chrome 怎么会允许这些,因为如果我正确理解了政策,那么SameSite=None
无论环境如何,所有 cookie 都必须是安全的?
是的,您只能使用 进行SameSite=None
设置Secure
。所以,我认为如果你的开发环境中没有 SSL,你不应该设置这些属性中的任何一个。
新行为来自以下两者:
chrome://flags/#same-site-by-default-cookies
chrome://flags/#cookies-without-same-site-must-be-secure
您可以检查您的浏览器是否正在执行https://samesite-sandbox.glitch.me上的完整行为