我在我的应用程序(xyz.example.com)中使用apache config标头规则(Header edit Set-Cookie ^(.*)$ "$1;SameSite=Lax")在cookie上设置了SameSite = Lax,浏览器已对其进行了设置。但是,从应用程序中的iframe(iframe位置-cdn.example.com)向CDN发出跨域GET请求时,使用domain = .example.com设置并设置SameSite = Lax的Cookie不会发送转移到Safari 13.1.2中的CDN,但通过其他浏览器(Chrome,Firefox)发送。从iframe发送时,响应403(由于缺少cookie)的资源的网址类似于cdn.example.com/secure/rss/content.css。
此外,当我使用apache config将SameSite属性设置为“无”并带有“安全”标志时,会从Safari版本13.1.2正常发送cookie。
基于我的谷歌搜索,这显然与WebKit错误没有任何关系,该WebKit错误影响了Samesite属性的值None或某些无效值被解释为Strict(尽管就我而言,Safari似乎正在考虑将这些cookie视为Safari-https://bugs.webkit.org/show_bug.cgi?id=198181使用SameSite = Strict设置)。使用https://samesite-sandbox.glitch.me/
检查时,Safari的13.1.2版本仍然存在该问题。除了Safari和disabling "Prevent Cross site tracking"中SameSite = None的行为差异之外,我找不到Safari中SameSite = Lax的行为偏差的任何明确原因。