我尝试在从第三方服务器重定向后将 JSESSIONID cookie 添加到我的请求中。
当用户第一次访问应用程序时,它返回带有属性SameSite=Lax的JSESSIONID。然后用户向Keycloak服务器进行身份验证,身份验证成功后redirects用户到应用程序。
问题是它与 Chromium 一起使用 - 即 JSESSIONID cookie 在重定向请求中传递给应用程序 - 但它在 Firefox 中失败,并在控制台中显示以下消息:Cookie“JSESSIONID”具有“SameSite”属性值由于跨站点重定向.
,省略了“Lax”或“Strict”我猜 Firefox 假设它是跨站点请求,因为尽管使用了 Lax 并且请求是安全的,但它不是顶级导航。但奇怪的是 Chromium 也没有将其视为跨站请求。
当我将 App 和 Keycloak 服务器放在同一个域中时,它就可以正常工作,因为它不再是跨站点请求,但我们还有其他类似的用例,我们无法控制其域的服务器,例如在线支付服务器。
你知道除了使用 SameSite=None 之外,是否有解决方案可以在所有浏览器上运行。
谢谢,