DefaultCookieSerializer 中 sameSite值默认为Lax
通过百度得知:
SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本(Chrome Dev 51.0.2704.4)中已经开始实行了。SameSite-cookies的目的是尝试阻止CSRF(Cross-site request forgery 跨站请求伪造)以及XSSI(Cross Site Script Inclusion (XSSI) 跨站脚本包含)攻击。
Strict
Strict是最严格的防护,有能力阻止所有CSRF攻击。然而,它的用户友好性太差,因为它可能会将所有GET请求进行CSRF防护处理
Lax
属性只会在使用危险HTTP方法发送跨域cookie的时候进行阻止,例如POST方式
所以,把sameSite设置为null,就可以了。
如:setSameSite(null); // 放开跨域带cookie值