Chrome扩展程序中的SameSite警告

时间:2020-01-05 11:18:01

标签: google-chrome cookies samesite

我们正在开发的Chrome扩展程序

  1. 从没有设置 SameSite 属性的域中读取Cookie
  2. 将cookie写入没有 SameSite 属性
    3. 的域

我们已经对 manifest.json

中的两个域都添加了权限

我们在Chrome浏览器中启用了以下标志,

  • 默认情况下,SameSite Cookies
  • 启用删除SameSite = None cookie
  • 没有SameSite的Cookie必须安全

问题

  1. 即使启用了这些标志,我们也可以读取使用来自其他域的以下值设置的cookie。这是预期的吗?如果是,为什么?

    • 没有 SameSite 属性
    • 带有 SameSite = strict

  2. 说扩展名在具有X.com域的网站中设置没有 SameSite 属性的cookie。网站(X.com)是

    • 通过 iframe 由其他扩展程序消费
      • Y.com的另一个网站通过 iframe 消费了
    • 。 在这两种情况下,cookie都将与响应一起呈现吗?

  3. 来自扩展程序的请求是否被视为跨站点请求?

  4. 由域中的扩展程序设置的cookie表现如何?这与来自其他域的网站设置Cookie时发生的情况类似吗?

  5. 具有对 manifest.json 中某个域的权限的扩展程序是否能够从另一个域读取cookie,而与 SameSite 值无关?

1 个答案:

答案 0 :(得分:0)

您好,我很确定由于chrome扩展程序在cookie存储区之外的操作方式,这种方法行不通。它将无法读取/写入这些值。

相关问题
最新问题