我有一个顶级的site1.com,它有一个src指向bot.com的子iframe。
bot.com只包含一个简单的js脚本,该脚本对auth.com/login进行获取,并返回一个带有以下参数的cookie:
Domain=auth.com,SameSite=None,Path=/,Secure,HttpOnly & Expires in 1 hr
然后,它再次获取auth.com/auth,但cookie没有按预期发送。
查看Chrome(最新版本)调试器中的cookie,我看到它被分区到顶级site1.com。研究表明它与CHIPS有关-但我的第二个呼叫来自同一个iframe,嵌套在同一个父页面中。为什么不发送饼干呢
1条答案
按热度按时间p1tboqfb1#
最终,一个愚蠢的解决方案是,初始的fetch [到设置cookie的url]也需要有
credentials: include(我已经在第二次fetch时这样做了)。我提到的最初的Mozilla Fetch API文档没有提到它会影响接受cookie,但后来我发现它提到它适用于发送和接收here。