为什么Google Chrome无法识别我的SameSite Cookie?

时间:2016-11-28 21:18:47

标签: google-chrome security cookies

我正在尝试探索Google Chrome如何处理SameSite Cookie。因此,通过使用控制台( ctrl + Shift + J ),我为某个网站的cookie添加了一个aditional键值对有一个帐户。我输入了以下代码:

document.cookie="SameSite=strict"

我检查了剩余的cookie,所有原始的键值对仍然存在,还有新添加的" SameSite = strict"对

现在,问题在于Chrome根据SameSite cookie的规范并不像它应该的那样行事。例如:当我访问wikipedia.org并点击指向我网站的链接时,我已登录。通常我不会登录,因为Chrome不应该登录因为" SameSite = strict"而发送cookie。对

我忽略了什么吗?

1 个答案:

答案 0 :(得分:4)

SameSite不是cookie值。它是一个cookie标志,如httpOnly和secure。因此,您无法将其设置为document.cookie="SameSite=strict",因为它会设置一个值。

尝试

document.cookie="mycookie=myvalue;SameSite=strict"

然后,您可以在Cookie下的“应用程序”标签上的Chrome DevTools中观察,您的Cookie实际上设置为SameSite = strict,而不仅仅是纯Cookie。