当我执行secure=false
和SameSite=none
时,我看不到安全问题。如果通过http发送敏感cookie,任何人都可以拦截它,并在自己的计算机上伪造请求。当然,因为这是他们自己的电脑,他们可以伪造来源绕过SameSite
。因此,如果secure=false
,则SameSite=Strict
不提供保护。我不明白为什么不允许设置secure=false
和SameSite=none
。
请参阅铬团队的报告:https://chromestatus.com/feature/5633521622188032此外,您可以设置";"安全";flag与否,您不会设置";secure=false";或";secure=true";。