我有一个顶级 site1.com,它有一个子 iframe,其 src 指向 bot.com。
bot.com 仅包含一个简单的 js 脚本,该脚本对 auth.com/login 进行提取,并返回一个带有以下参数的 cookie:
Domain=auth.com、SameSite=None、Path=/、安全、仅 Http 且 1 小时后过期
然后它再次获取 auth.com/auth,但 cookie 未按预期发送。
查看 Chrome(最新版本)调试器中的 cookie,我发现它被分区到顶级 site1.com。研究表明它与 CHIPS 相关 - 但我的第二个调用来自同一个 iframe,嵌套在同一个父页面中...为什么它不发送 cookie?
最终是一个愚蠢的解决方案,其中初始获取[到设置cookie的url]也需要有
credentials: include