Chrome 2020 年 8 月 10 日更新后,不会在 iframe 中发回 cookie
Chrome not sending back cookies in iframe after Aug 10, 2020 update
我们有一个 web 应用程序,它在 iFrame 的不同站点上嵌入了另一个 web 应用程序。这已经存在了几年。上周我们开始收到一些用户的错误报告。经过调查,我们发现在 2020 年 8 月 10 日发布的 Chrome 84.0.4147.125 上,iFrame 中的 cookie 没有被发送回服务器。此问题仅自此 chrome 版本后出现。旧版本和其他浏览器工作正常。
此版本中有哪些更改可能会产生这种影响?
感谢@Eyal.D 指出解决方案。
如所述:
Chrome now blocks cookies without SameSite
set, so you need to
explicitly set it to samesite=none
.
我能够通过在我的 httpd 配置中添加以下内容来解决这个问题:
Header edit Set-Cookie ^(.*)$ ;HttpOnly;Secure;SameSite=None
我会补充,如所述:
If you own the somesite.com you can opt-out of this policy by setting
SameSite policy to None and deal with the risk of CSRF attacks by a
doing Double Submit Cookie.
我们有一个 web 应用程序,它在 iFrame 的不同站点上嵌入了另一个 web 应用程序。这已经存在了几年。上周我们开始收到一些用户的错误报告。经过调查,我们发现在 2020 年 8 月 10 日发布的 Chrome 84.0.4147.125 上,iFrame 中的 cookie 没有被发送回服务器。此问题仅自此 chrome 版本后出现。旧版本和其他浏览器工作正常。
此版本中有哪些更改可能会产生这种影响?
感谢@Eyal.D 指出解决方案。
如
Chrome now blocks cookies without
SameSite
set, so you need to explicitly set it tosamesite=none
.
我能够通过在我的 httpd 配置中添加以下内容来解决这个问题:
Header edit Set-Cookie ^(.*)$ ;HttpOnly;Secure;SameSite=None
我会补充,如所述:
If you own the somesite.com you can opt-out of this policy by setting SameSite policy to None and deal with the risk of CSRF attacks by a doing Double Submit Cookie.