# 前言 Chrome從70版本開始，出現了所謂的同源策略問題。80版本開始默認SameSite=Lax，導致跨域Cookie傳輸收到限制。 我們遇到的問題是：從其他網站跳轉回來的時候，地址欄在正常地址的基礎上出現了JSESSIONID=XXXXXXXXX,導致原有session失效。 # # 二、解決方案 ## 1.方案一：修改瀏覽器配置 此方式比較粗暴，直接將瀏覽器的SameSite的屬性設置回到以前的None狀態。但缺點是每臺客戶端機器都需要配置，適用于用戶范圍可控的情景。 據說從91版本開始，此方式失效，未進行測試。。。。 1）chrome地址欄輸入chrome://flags 2）通過禁用“SameSite by default cookies”和“Cookies without SameSite must be secure”功能開關 3）重新啟動瀏覽器 方式2和方式3是設置samesite=none,且顯式聲明secure=true，只支持https且samesite=none的情況下跨域攜帶cookie。 ## 2.方案二：使用Nginx # 設置一個變量，用于判斷是否增加SameSite=None屬性 set $cookiePathMagicFlag ''; # 00~69 之間Chrome, 設置為-evil' ``` if ($http_user_agent ~ "Chrome/([0-6][0-9]\.)"){ set $cookiePathMagicFlag '-evil'; } location / { # nginx其他配置 # xxxxxxxxx # 增加SameSite=None、secure配置 proxy_cookie_path /$cookiePathMagicFlag "/; httponly; secure; SameSite=None"; } ``` ### 3.方案三：若服務器為Tomcat，可使用以下方式（Tomcat8.5.x以上版本） 修改conf/context.xml ``` <?xml version="1.0" encoding="UTF-8"?> <!-- The contents of this file will be loaded for each web application --> <Context> <!-- Default set of monitored resources. If one of these changes, the --> <!-- web application will be reloaded. --> <WatchedResource>WEB-INF/web.xml</WatchedResource> <WatchedResource>${catalina.base}/conf/web.xml</WatchedResource> <!-- Uncomment this to disable session persistence across Tomcat restarts --> <!-- <Manager pathname="" /> --> <!-- 配置sameSiteCookies=None --> <CookieProcessor sameSiteCookies ="None" /> </Context> ```