SameSite cookie被阻塞

Question

快速概述：我在domain1上打开我的网站。在页面中，我使用url http://domain2/...加载iframe。

我一直在chrome上收到这个警告，它影响了我的网站：

与http://domain2的跨站点资源关联的cookie是在没有SameSite属性的情况下设置的。它已经被阻止了，因为Chrome现在只提供带有跨站点请求的cookie，如果它们是用SameSite=None和Secure设置的。您可以在Application>Storage>Cookies下查看开发人员工具中的cookie，并在https://www.chromestatus.com/feature/5088147346030592和https://www.chromestatus.com/feature/5633521622188032上查看更多详细信息。

我以前从来没有设置过cookie，所以我不知道应该从哪里设置cookie。我已经尝试过在我的domain2 nginx配置中设置domain2，但它似乎不起作用：

location / {
    proxy_cookie_path / "/; SameSite=None; Secure";
}

我还尝试添加Set-Cookie头，这似乎也不起作用：

location / {
    ...
    add_header 'Set-Cookie' 'SameSite=None; Secure';
}

当我尝试第二种解决方案时，头似乎是从chrome上的响应中接收到的，但是chrome给出了以下警告：

​

​

请注意，domain2也是我们的域，它有一个使用Flask框架的python后端。那么，我应该从python代码或javascript前端添加cookie吗？

这真的很令人沮丧。

Answer 1

当请求通过同一个域发送时，跨站点资源共享- CORS是一个已知的问题。您可以尝试使用已经存在的烧瓶包装来允许相同的源请求。

此外，这的问题和答案似乎与你的相关。

Answer 2

我在块中使用了这个proxy_cookie_flags ~ secure samesite=none;，server { }和location { }，它起作用了。