DefaultCookieSerializer 中 sameSite值預設為Lax
通過百度得知:
SameSite-cookies是一種機制,用於定義cookie如何跨域傳送。這是谷歌開發的一種安全機制,並且現在在最新版本(Chrome Dev 51.0.2704.4)中已經開始實行了。SameSite-cookies的目的是嘗試阻止CSRF(Cross-site request forgery 跨站請求偽造)以及XSSI(Cross Site Script Inclusion (XSSI) 跨站指令碼包含)攻擊。
Strict
Strict是最嚴格的防護,有能力阻止所有CSRF攻擊。然而,它的使用者友好性太差,因為它可能會將所有GET請求進行CSRF防護處理Lax
屬性只會在使用危險HTTP方法傳送跨域cookie的時候進行阻止,例如POST方式
所以,把sameSite設定為null,就可以了。
如:setSameSite(null); // 放開跨域帶cookie值