Shu*_*IKE 5 cookies google-chrome samesite
我知道 cookie 的行为从 chrome 80 开始发生了变化。
\n https://blog.chromium.org/2019/10/developers-get-ready-for-new.html
这篇博客说,“当 SameSite=None 属性存在时,必须使用附加的 Secure 属性,以便只能通过 HTTPS 连接访问跨站点 cookie。”\n这是否意味着 SameSite=None 和 Secure=False 的 cookie会被Chrome拒绝吗?我们不能设置这样的cookie吗?
\n\n我无法那样阅读。
\n\n然而,在这篇博客中写的测试方式中也表明,\n描述说“它将被拒绝”。
\n\n\n\n\n没有 SameSite 的 Cookie 必须是安全的
\n\n如果启用,没有 SameSite 限制的 cookie 也必须是安全的。\n 如果设置没有 SameSite 限制的 cookie 时没有安全\n 属性,它将被拒绝。仅当“SameSite by default cookies”也启用时,此标志才有效。\xe2\x80\x93 Mac、Windows、Linux、\n Chrome 操作系统、Android
\n
这是正确的行为吗?
\n正确的。如果您正在设置,则SameSite=None它必须始终为Secure。如果不设置Secure,cookie将被拒绝。
Chrome 提供了两个标志可用于早期测试:
chrome://flags/#same-site-by-default-cookies- 该标志将把没有SameSite属性的 cookie 视为有属性的cookie SameSite=Lax。chrome://flags/#cookies-without-same-site-must-be-secure- 该标志将导致带有SameSite=None但缺失的cookieSecure被拒绝。虽然从 Chrome 实现的角度来看,这是两项单独的更改,但开发人员应将其视为一项更改来解决。检查现有 cookie 并尽可能设置适当的SameSite属性。Secure
| 归档时间: |
|
| 查看次数: |
9606 次 |
| 最近记录: |