Warning: file_get_contents(/data/phpspider/zhask/data//catemap/8/http/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript SameSite=Lax是否允许第三方获取?_Javascript_Http_Security_Cookies_Samesite - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript SameSite=Lax是否允许第三方获取?

Javascript SameSite=Lax是否允许第三方获取?

javascript http security cookies

Javascript SameSite=Lax是否允许第三方获取?,javascript,http,security,cookies,samesite,Javascript,Http,Security,Cookies,Samesite,读取SameSite=Lax,它表示: Cookie允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送。这是现代浏览器中的默认值 对我来说,这听起来像是我可以从第三方开始获取JavaScript,只要是GET,cookies就会被发送 但据介绍,即使GET请求也只在顶级导航期间发送,即不从JS发送 我猜答案是正确的。我真的希望如此,因为我正在尝试保护API,我只希望在用户导航到第1方站点时发送cookie,即用于Oauth2交互等。SameSite=Strict对我不起作用,因为如

读取
SameSite=Lax
,它表示:

Cookie允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送。这是现代浏览器中的默认值

对我来说,这听起来像是我可以从第三方开始获取JavaScript,只要是GET,cookies就会被发送

但据介绍,即使GET请求也只在顶级导航期间发送,即不从JS发送

我猜答案是正确的。我真的希望如此,因为我正在尝试保护API,我只希望在用户导航到第1方站点时发送cookie,即用于Oauth2交互等。
SameSite=Strict
对我不起作用,因为如果我链接到第1方服务器上的资源,如果referer指示导航来自其他地方,它仍然被阻止。刷新页面也不起作用。我必须手动导航到URL

编辑:我刚刚测试了这个,行为和我希望的一样。Cookie不会随
SameSite=Lax
fetches一起发送。我是唯一一个被MDN措辞弄糊涂的人吗