简介
Chrome浏览器升级到80版本后,对部分用户开启SameSite默认为Lax的特性,导致公司内部系统的一个功能出现问题,在此记录问题定位过程。
问题背景
公司某个业务部门通过一个第三方网站,进行对外业务处理,同时需要将数据录入内部系统。该第三方网站支持通过iFrame形式将公司的内部系统,嵌入到该网站中。实际使用中,需要先登录我们的内部系统,然后在同一浏览器中访问该第三方网站。这一过程中依赖cookie跨域才能正常工作。
问题现象和定位过程
某一天某Mac用户在通过Chrome浏览器(版本80.0.3987.149)访问该第三方网站时,发现无法正常显示我们的内部系统。但通过Safari和FireFox浏览器依然能正常使用,便没有深入定位问题原因。
2天后,另一Windows用户发现通过Chrome(版本80.0.3987.149)也无法通过该第三方网站访问内部系统。但通过Firefox访问正常,且其他Chrome用户均可正常访问。在异常用户的Chrome中打开Dev Tools,查看Application->Cookies
,发现在第三方网站下看不到内部系统的cookie。而正常访问用户下是可以在第三方网站下看到内部系统Cookie的,结合Console的提示信息
Warning提示:
A cookie associated with a cross-site resource at http://{内部系统域名}.com/ was set without the ‘SameSite’ attribute. It has been blocked, as Chrome now only delivers cookies with