概念
SameSite 阻止浏览器将 cookie 与跨站点申请一起发送。次要指标是升高跨起源信息泄露的危险。它还提供了一些针对跨站点申请伪造攻打的爱护。该标记的可能值为 Lax 或 Strict。
SameSite能够有上面三种值:
Strict仅容许一方申请携带Cookie,即浏览器将只发送雷同站点申请的Cookie,即以后网页URL与申请指标URL完全一致。
Lax容许局部第三方申请携带Cookie
None无论是否跨站都会发送Cookie
以前浏览器默认值为None当初为Lax,所以当初的跨站ajax申请默认不会再携带cookie。
对于ajax(XMLHttpRequest)跨域申请携带cookie的一些了解
1、ajax跨域申请默认不携带cookie,必须设置XMLHttpRequest的withCredentials为ture
2、如果这个ajax申请是跨站申请,即便设置了withCredentials也不会携带cookie,必须强行把SameSite设置成None才会携带cookie。不过须要留神:SameSite设置成None后,Cookie就必须同时加上Secure属性(Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协定发送给服务器,用http协定是不发送的)