1. 浏览器cookies携带问题
问题:在后端设置allow-origin后 chrome上独有的跨域问题(firefox上不存在)
原因:
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。SameSite可以设置三个值:Strict、Lax、None
Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。
Lax规则稍稍放宽,分情况处理,具体如下
chrome自版本80之前,SameSite默认是None,80之后默认是Lax,出现了所谓同站策略问题。
即,在A页面请求B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的服务器。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,80之后chrome区分情况,不一定允许这么干了。(FIreFox就没这个问题)
到此为止其实只要在chrome://flags里修改 SameSite by default cookies和Cookies without SameSite must be secure为disabled就行了
更新91版本后好了,直接默认SameSite by default cookies和Cookies without SameSi