当我执行secure=false和SameSite=none时,我看不到安全问题。如果通过http发送敏感cookie,任何人都可以拦截它,并在自己的计算机上伪造请求。当然,因为这是他们自己的电脑,他们可以伪造来源绕过SameSite。因此,如果secure=false,则SameSite=Strict不提供保护。我不明白为什么不允许设置secure=false和SameSite=none。
请参阅铬团队的报告:https://chromestatus.com/feature/5633521622188032此外,您可以设置";"安全";flag与否,您不会设置";secure=false";或";secure=true";。