Chrome新增的cookie属性SameSite

今天在chrome浏览器中观察请求信息时发现了这样一个警告：

咦，看起来像是阻止了个人 cookie 发送。通过查询方知，原来谷歌为了防止CSRF攻击，已经逐步开始启用 SameSite 这个cookie属性，以更强制的手段来下降 CSRF 的风险。而这个特性从76版本后，就已经开始逐步加入到 chrome 稳定版当中了。我看了下本身的 chrome，赫，都已经 84版了，必然命中这个特性了。

我们去chrome开发工具里看一下cookie的属性家族。哇看起来，cookie属性家族真是愈来愈庞大了：

SameSite 是干吗的

咱们来看下 sameSite 究竟是个什么鬼东西。从MDN文档能够看到： samesite能够阻止浏览器在跨域请求里携带cookie。

在默认状况下，该属性的值是 Lax，即松懈的意思，这个所谓的松懈相对于之前来讲其实并不松懈，它是 只容许 GET 跨域请求携带

另一个值是 strict，即严格模式，严格标志将阻止cookie被浏览器发送到全部跨域目标网站，即便是常规的GET请求。

怎样绕过这个限制呢

虽然绕过是不安全的。可是有些场景是没有太严格的要求的，例如统计日志数据的 cgi。除了上述2个值以外，还能够将他声明为 none。经过显式声明SameSite = None，开发人员仍然能够不受限制的使用跨域cookie。

浏览器支持状况

从Chrome 76开始，经过启用默认默认cookie标记，该功能将可用。从2020年7月14日开始，此功能将逐步向Stable用户推出。但MacOS上还有BUG(若是设置为none，效果会变成strict)。另一个bug就是我本身电脑上加上samesite进行设置cookie是无效的，目前还不清楚缘由，若是有大佬知道为啥不生效，还请但愿大佬赐教。