google-chrome - Chrome 80 允许不安全的 SameSite=None cookie

标签 google-chrome cookies samesite

我最近升级到 Chrome 80,并在 chrome://flags 中启用了新的 SameSite cookie 策略。在本地开发时,我的服务器框架设置为使用 SameSite=None 属性发出身份验证 cookie。目前我没有启用 SSL。

现在我想知道,Chrome 为什么会允许这些,因为如果我正确理解了该政策,那么无论环境如何,所有 SameSite=None cookie 都必须是安全的?

enter image description here

enter image description here

最佳答案

是的,您只能使用Secure设置SameSite=None。因此,我认为如果您的开发环境中没有 SSL,则不应设置这两个属性。

新行为来自于:

  • chrome://flags/#same-site-by-default-cookies
  • chrome://flags/#cookies-without-same-site-must-be-secure

您可以检查您的浏览器是否在 https://samesite-sandbox.glitch.me 上强制执行完整的行为

关于google-chrome - Chrome 80 允许不安全的 SameSite=None cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60109246/

相关文章:

php - 用 JavaScript 编写的 Cookie 在 PHP 中仅显示为整数

asp.net - 使用框架 4.8 的 web.config Asp.net Web 项目中不允许使用 'sameSite' 属性

javascript - 未使用 javascript 设置 Samesite cookie 属性

javascript - Chrome 扩展程序不发送 SameSite=Lax cookie

css - 15 像素处 Firefox 和 Chrome 中 Verdana 的字距错误

google-chrome - webshaper webgl 演示安全问题?

node.js - 如何始终禁用 Chrome 网络缓存

android - Java Servlet、Cookie 和 Android

javascript - 从 Google Chrome 扩展访问 cookie

javascript - 为 Chrome 扩展程序注入(inject)内容脚本不起作用