Firefox 饼干“；便携孔”；将很快被拒绝，因为它具有“；sameSite”；属性设置为“；无”；或无效值，不带“；安全”；属性

在Mozilla Firefox中获得此警告：

Cookie “portalroles” will be soon rejected because it has the “sameSite” attribute set to “none” or an invalid value, without the “secure” attribute. To know more about the “sameSite“ attribute, read https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite

有人知道“很快”什么时候会到来吗？我认为Firefox不会允许创建这样的cookie

---

编辑：我没有提到我签出了警告链接到的文章，我找不到任何指示时间范围或拒绝意味着什么的内容。

有关Firefox的时间表，您可以在此处参考他们的“实施意图”线程：

在编写本报告时，它指出：

从今天的Beta 79开始，我们将对SameSite Cookie的默认行为进行此更改，以使一小部分Beta用户受益。最初的目标是10%，到贝塔周期结束时慢慢增加到50%。我们将在50%举行至少两个beta周期，在这一点上，我们将考虑引入这一小比例的火狐发布人口。 但是，关于

portalroles

cookie的一些问题。这是你正在设置的吗？如果是，是否打算在第三方环境中使用

基本上，如果这是您的cookie并且仅在您的站点上需要，那么我建议设置

SameSite=Lax

如果在第三方上下文/跨站点请求中需要此cookie，则需要确保您拥有

SameSite=None；安全

---

仅设置

SameSite=None

而不设置

Secure

是无效的。

这是我们在应用程序中设置的cookie，一般来说，在第三方上下文中不需要它（由不同的应用程序请求），但是，相同的应用程序（在相同的web服务器上）需要它请求来自不同的子域，也可能来自不同的域（由域驱动）。所以我想我们必须使用

SameSite=None；安全的

route。如果它是不同的子域，您通常可以使用

SameSite=Lax

。如果是另一个域，那么是-您可能需要

SameSite=None；安全

。我建议首先尝试并测试

SameSite=Lax

。本文可能有助于理解origin和site之间的区别：标准没有说明samesite=none需要安全标志。这正是Chrome提出的，Firefox和其他浏览器也在效仿。它会成为事实上的标准吗？对但是现在有人告诉我，在samesite=none cookies上不设置安全标志是无效的。@JasonAyer同一基本域上的第三方cookie与来自完全不同域的第三方cookie的处理方式不同。据我所知，这是一个事实上的标准，所以如果它被记录在我想知道的任何地方。但根据我的测试，如果您在浏览器中阻止第三方cookie，则实际上只会阻止来自完全不同域的第三方cookie，即使域属性不匹配。Chrome、Firefox和Edge中仍然允许设置来自同一基本域的第三方cookie。这让我猜测samesite=lax cookies也不会被阻止。