前言 闲的蛋疼瞎折腾。。通过Nginx保证全站HTTPS时小饼干的安全性 0.0 在 nginx 的 location 中配置 示例 开始填坑之旅吧。。。 ...

项目开发过程中电脑挂了，换了台新的，下载了最新的chrome（80版本），当项目跑起来的时候发现出问题了。 问题描述： 项目是通过cas单点登录后访问后台接口的，chrome更新完发现登入成功之后总是重定向回单点登录的统一登录页，排除了各种原因，最后还是觉得是浏览器的问题，遂百度，果然找到 ...

新项目要嵌入之前的一个项目，而且该被嵌入项目之前提供给第三方使用，他们也是用的iframe。以前都是好的，但是现在发现要是iframe的地址和父级的地址不同源，项目登录时无法设置cookie。 一开始以为后端出问题了，后来换火狐、ie edge 都是可以的，并且其他人的Chrome也有可以用 ...

新版本的chrome浏览器（80版本之后）对cookie的校验更加严格，有页面嵌套的可能会出现问题。chrome升级到80版本之后(最坑的地方：灰度测试，即也可能存在同一版本不同人的浏览器表现不同)，cookie的SameSite属性默认值由None变为Lax，该问题的讨论可参考：https ...

cookie。 一开始以为后端出问题了，后来换火狐、ie edge 都是可以的，并且其他人的Chrome也有可 ...

　新项目要嵌入之前的一个项目，而且该被嵌入项目之前提供给第三方使用，他们也是用的iframe。以前都是好的，但是现在发现要是iframe的地址和父级的地址不同源，项目登录时无法设置cookie。 一开始以为后端出问题了，后来换火狐、ie edge 都是可以的，并且其他人的Chrome也有可以用 ...

我们知道，通过设置Access-Control-Allow-Credentials: true和xhr.withCredentials = true，可以实现跨域传递Cookie. 达到保存用户登录态等目的。但使用不当，也会有CSRF风险。所以，从Chrome 51开始，浏览器的Cookie新增 ...

chrome升级到80版本之后(准确的说是78版本之后，灰度测试，如上图，即也可能存在同一版本不同人的浏览器表现不同) cookie的SameSite属性默认值由None变为Lax 此时可以尝试显式声明 Cookie 的SameSite属性为None，并设置Secure (不然无效 ...