C# 移动浏览器有时不转发反伪造令牌cookie

我们的应用程序是一个支付促进者，我们的签出过程支持重定向和iframe签出。为了防止CSRF攻击，我们使用标准MVC AntiForgeryToken实现。但是，我们有一小部分签出失败，并出现一个错误，称AntiForgeryToken cookie丢失

从日志中我们总结出，只有当用户代理是不同版本和平台版本的Mobile Safari或Samsung浏览器时，才会发生这些错误

我们无法确定这些错误是否仅在嵌入iframe内部时发生，但是我们无法从重定向版本或嵌入版本可靠地再现这些错误。 更令人费解的是，标准的Safari和第三方cookie问题也不能解释这一点，因为在所有情况下，我们都可以从日志中看出存在ASP.NET_SessionId cookie

我们已尝试在响应上设置P3P标头：

HttpContext.Response.AddHeader（“p3p”，“CP=”IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\”）
此外，我们确信这种情况也会发生在合法用户身上，而不仅仅是恶意攻击者（假设他们中的任何一个都是恶意的）。为了确保说明明显的问题，所有这些请求都包含一个HTTP表单条目，其中包含
\uu RequestVerificationToken
，但没有cookie

此外，所有记录的错误都表明：
所需的防伪cookie“\uuu RequestVerificationToken\u L3Yx0”不存在。
我们无法解释
\u L3Yx0
附录。但要明确的是，附录不是问题所在，或者至少不是唯一的问题，因为我们一开始没有收到cookie

对于这种奇怪的行为有什么可能的解释，我们能做些什么来防止这个问题？
我无法解决我们自己的问题，如上所述，但我确实考虑过使用上的信息编写一个带有自定义日志的AntiForgeryTokenValidator替代品；和