Table of contents
背景
当服务端已设置了 Access-Control-Allow-Origin 为当前 url 后,set-cookie (HttpOnly)依旧不生效
解决
SameSite问题:以前 None 是默认值,但最近的浏览器版本将 Lax 作为默认值,以便对某些类型的跨站请求伪造(CSRF)攻击具有相当强的防御能力,因此阻止了 cookie 是写入
设置 Set-Cookie: flavor=xxxxxx; SameSite=None; Secure
注:设置 None 后,未标记 Secure 的任何 cookie 都将被拒绝。