Chrome扩展中的SameSite警告

Question

我们正在开发Chrome扩展程序

attribute

• writes

• 从一个没有SameSite SameSite cookie设置的域读取cookie到一个没有SameSite属性

的域

我们向manifest.json中的两个域添加了权限

我们在Chrome浏览器中启用了以下标志

默认情况下，启用删除无cookies

• Cookies的
• SameSite
• 必须是安全的

。

问题

即使启用了标志，

1. 也可以从其他域读取使用以下值设置的cookie。这是预期吗?如果是的话，为什么？？

- without _SameSite_ attribute
- with _SameSite=strict_

​

1. 说，扩展在带有域X.com的站点中设置没有SameSite属性的cookie。当站点(X.com)是

时会发生什么？

- consumed via _iframe_ by another extension
- consumed via _iframe_ by another site with domain Y.com. Will the cookie be rendered with the response in both the cases??

​

来自扩展的请求是否被视为跨站点request??

• How？这与来自不同域的网站设置具有对manifest.json中某个域的权限的manifest.json扩展时发生的情况类似吗？？

可以从其他域读取cookie吗？

Answer 1

你好，我很确定这不会工作，因为chrome扩展在cookie商店外运行的方式。它将无法读取/写入这些值。