Chrome所有版本:chromereleases.googleblog.com/
SameSite 更新记录:www.chromium.org/updates/sam…
SameSite属性的解释:web.dev/samesite-co…
1、Chrome从51版本之后添加了Cookie SameSite属性
51版本更改日志
这个属性的引入使您能够声明您的cookie是否应限制为第一方或同站(站点:域名后缀和域名后缀之前部分的组合)上下文
提供了三种值:
| 属性 | 含义 |
|---|---|
| SameSite=None | 隐含地声明您希望在所有上下文中发送cookie,如在第三方上下文中发送 |
| SameSite=Strict | 您的cookie将仅在第一方上下文中被发送,只有cookie站点与浏览器URL中当前显示的站点相匹配,才会发送cookie |
| SameSite=Lax | 规则放宽,不会在正常的跨站点子请求上发送(图像或框架加载到第三方站点),但是在用户导航到目标网址(即点击链接)时发送 |
2、但是该属性未被开发者广泛采用,为了避免用户容易受到CSRF、无意信息泄露的影响,从2020年2月 Chrome 80版本开始:
- 不带
SameSite属性的 cookie 将被默认视为SameSite=Lax,这意味着默认行为将cookie限制到仅第一方上下文 - 跨网站使用的Cookie必须指定具有
SameSite=None;Secure,才能包含在第三方上下文中,即这些 cookie 需要一个安全的上下文环境
以上功能是 Chrome 84 稳定版以后的默认行为
直接访问chrome://flags/,找到SameSite by default cookies选项,将其设置为禁用(Disabled),重启Chrome即可。
3、2021年5月,官方出于安全考虑,从91版本取消了可视化关闭的方式,但还是可以通过命令行启动的方式进行关闭
Mac系统下可以通过命令行打开Chrome的方式来进行关闭。
- 注意前提须关闭浏览器。
- 开启Chrome命令: open -a "Google Chrome" --args --disable-features=SameSiteByDefaultCookies
- 开启Chromium版Edge浏览器命令: open -a "Microsoft Edge" --args --disable-features=SameSiteByDefaultCookies
