最近在开发中遇到了一个需求,后端需要通过 set-cookie 更改 http 头以达到在前端存储 cookie 的目的。 我们使用前后端分离的方式进行开发,所以前后端的请求就存在着跨域问题。
在 cookie 中为了解决跨域问题,那么就需要 same-site 设置为 none。
而使用了 same-site 后,必须要加入 secure 设置作为安全手段。而 http 是不支持 secure 设置的,这就造成了死锁.......
在后续我们翻找文档时,也找到了 Chrome 80 在 2020 年 2 月发布的特性文档,对这一内容也进行了提及。
最后,还是老老实实得用回了 token
