我有一个 Web 应用程序,它依赖于标记为 HttpOnly / Secure 的持久 cookie,以安全地保留会话 ID。
问题是当这个 Web 应用程序嵌入跨域时,它不再适用于阻止第三方 cookie 的 iOS。
避免这种情况的正常建议是使用 jwt 或带有标头的东西(例如 Auth Bearer 令牌),这对 REST API 非常有用。
但是当用户将新页面加载到 cookie 时,正常页面请求(不是 REST)的替代方案是什么?我唯一能想到的是一个 queryString 值,但这是非常不安全的,因为任何人都可以看到它,即使是通过 HTTPS。