我最近升级到 Chrome 80,并在 chrome://flags
中启用了新的 SameSite cookie 策略。在本地开发时,我的服务器框架设置为使用 SameSite=None
属性发出身份验证 cookie。目前我没有启用 SSL。
现在我想知道,Chrome 为什么会允许这些,因为如果我正确理解了该政策,那么无论环境如何,所有 SameSite=None
cookie 都必须是安全的?
最佳答案
是的,您只能使用Secure
设置SameSite=None
。因此,我认为如果您的开发环境中没有 SSL,则不应设置这两个属性。
新行为来自于:
chrome://flags/#same-site-by-default-cookies
- 和
chrome://flags/#cookies-without-same-site-must-be-secure
您可以检查您的浏览器是否在 https://samesite-sandbox.glitch.me 上强制执行完整的行为
关于google-chrome - Chrome 80 允许不安全的 SameSite=None cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60109246/