Вот ситуация:
Мое веб-приложение поддерживает сеанс с помощью обычного сеанса Cook ie. Мое веб-приложение отображается внутри iframe на другом сайте. Мое приложение, которое находится в iframe, отправляет различные ajax запросы. Chrome блокирует сеансовый повар ie, потому что считает эти запросы межсайтовыми. Тогда мой сервер не видит сессионный повар ie, поэтому отвечает 401.
Это вынуждает меня ослабить атрибут SameSite и установить его на None для сеансового приготовления ie, тем самым открывая дверь для межсайтовых атак! Любой может опубликовать что угодно на моем сайте, и будет отправлен сеансовый повар ie!
Мой сайт должен быть доступен как из, так и из iframe, если вам интересно, это нельзя изменить.
Я не могу поверить, что Google сделает то, что кажется огромной концептуальной ошибкой. Есть ли веская причина, почему это так? Есть ли какое-нибудь хорошее решение?
Еще один диссонанс, который я испытываю и который также кажется большой концептуальной ошибкой, заключается в том, что они не будут отправлять межсайтовые запросы, если повар ie не помечен как безопасный (только HTTPS). Это смешивается с разработкой, где я использую HTTP, и производством, где я использую HTTPS. Я также не понимаю, почему они смешивают значение SameSite со значением Secure? Для меня это то, что они принимают решения для разработчиков, и я не могу найти положительную причину, поэтому, пожалуйста, просветите меня :)