近期将 Google Chrome 升级到 91 版本之后,将上述提到的 SameSite by default cookies 和 Cookies without SameSite must be secure 直接屏蔽并设置为默认值(Default),所以我们原来的配置失效了,且再也无法通过上述方式去修改配置了。
# Google Chrome
$ open -a "Google Chrome" --args --disable-features=SameSiteByDefaultCookies
# Microsoft Edge by Chromium
$ open -a "Microsoft Edge" --args --disable-features=SameSiteByDefaultCookies
The flags #same-site-by-default-cookies and #cookies-without-same-site-must-be-secure have been removed from chrome://flags as of Chrome 91, as the behavior is now enabled by default. In Chrome 94, the command-line flag --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure will be removed.
背景
由于此前我的 Chrome 浏览器一直都是安装最新 Beta 版本,但是有一天因为该浏览器 Cookie 的 SameSite 属性的限制(Chrome 80 版本以后),导致跨域请求无法携带上 Cookie 了,导致在开发过程中遇阻了。
由于不习惯在 Safari 或者 Firefox 浏览器上进行开发,主要是操作习惯不太一样,也有插件的原因,用着不舒服。就想着先安装旧版的浏览器继续开发,先别耽误项目进度。
解决方法
自 Chrome 80 版本起,Chrome 更新了 SameSite 属性的默认值,由
None改成了Lax,主要用于限制第三方 Cookie,减少安全风险和用户追踪。同时,基于 Chromium 的 Edge 浏览器,在对应版本也会有此限制哦。方案一(不推荐)
安装 Chrome 80 以下版本。方案二:针对 Chrome 80 以上,Chrome 91 以下的浏览器
浏览器地址输入
chrome://flags/并前往 ,搜索SameSite by default cookies和Cookies without SameSite must be secure,将这两项设置为Disabled,然后重启浏览器。方案三:针对 Chrome 91 及更新版本
近期将 Google Chrome 升级到 91 版本之后,将上述提到的
SameSite by default cookies和Cookies without SameSite must be secure直接屏蔽并设置为默认值(Default),所以我们原来的配置失效了,且再也无法通过上述方式去修改配置了。其中一个解决方法,还是降级到 Chrome 91 以下(仍然不推荐)。Windows 平台:
在完全关闭 Chrome 浏览器的情况下,打开 Chrome 浏览器快捷方式,在目标后添加
--disable-features=SameSiteByDefaultCookies保存。macOS 平台:
前提还是完全关闭浏览器,根据不同的浏览器,选择不同的启动命令,在终端执行命令打开。
方案四:针对未来版本(94 版本)
Chromium 项目官网提到在 94 版本通过命令行禁用设置 SameSite 默认值的方式会被移除,届时方案二和方案三的方式都将无法使用,后续可通过 Nginx 等代理工具或软件将跨域请求转为非跨域请求来解决改问题。
官方描述如下:
浏览器下载
Chrome 浏览器
Firefox 浏览器
参考