У нас есть следующий поток для потерянного пароля:
- Пользователь получает ссылку по электронной почте.
- Пользователь нажимает ссылку с уникальным токеном. Сеансовый cookie устанавливается
- . Пользователь сразу же перенаправляется на бланк утраченного пароля.
Мы заметили, что когда браузер открывает третий шаг, он пропускает только что установленный нами cookie. .
Интересно, что это only происходит, когда пользователь нажимает на ссылку, например, из веб-интерфейса gmail. Если пользователь вручную скопировал ссылку и поместил ее в свою адресную строку, cookie-файл действительно установился.
Интересно, сталкивались ли другие с этим. Может быть, это какие-то продвинутые браузеры защиты конфиденциальности, которых я раньше не видел.