Javascript SameSite=Lax是否允许第三方获取?
读取Javascript SameSite=Lax是否允许第三方获取?,javascript,http,security,cookies,samesite,Javascript,Http,Security,Cookies,Samesite,读取SameSite=Lax,它表示: Cookie允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送。这是现代浏览器中的默认值 对我来说,这听起来像是我可以从第三方开始获取JavaScript,只要是GET,cookies就会被发送 但据介绍,即使GET请求也只在顶级导航期间发送,即不从JS发送 我猜答案是正确的。我真的希望如此,因为我正在尝试保护API,我只希望在用户导航到第1方站点时发送cookie,即用于Oauth2交互等。SameSite=Strict对我不起作用,因为如
SameSite=Lax
,它表示:
Cookie允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送。这是现代浏览器中的默认值
对我来说,这听起来像是我可以从第三方开始获取JavaScript,只要是GET,cookies就会被发送
但据介绍,即使GET请求也只在顶级导航期间发送,即不从JS发送
我猜答案是正确的。我真的希望如此,因为我正在尝试保护API,我只希望在用户导航到第1方站点时发送cookie,即用于Oauth2交互等。SameSite=Strict
对我不起作用,因为如果我链接到第1方服务器上的资源,如果referer指示导航来自其他地方,它仍然被阻止。刷新页面也不起作用。我必须手动导航到URL
编辑:我刚刚测试了这个,行为和我希望的一样。Cookie不会随SameSite=Lax
fetches一起发送。我是唯一一个被MDN措辞弄糊涂的人吗