一、前言

针对Chrome版本67及以上

注意,这个里面的SameSite不能设为null,设空的话,还是会走默认值Lax

其中,SameSite的值可以填3个:Strict、Lax、None.
缺省的值为Lax,而且当你设置其为空时,在新的Chrome中还是会给予默认值Lax.

1.2. 三模式介绍

Strict（严格模式）

Lax（宽松模式 默认）

None（可以在第三方环境中发送cookie 在这种模式下,必须同时启用Secure才行）

Chrome 计划将Lax变为默认设置。这时，网站可以选择显式关闭SameSite属性，将其设为None。不过，前提是必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。

二、Tomcat下配置

位置：apache-tomcat-8.5.66\conf目录下

找到context.xml文件打开

<!-- 加入 -->
<CookieProcessor sameSiteCookies="None"/>

找到web.xml文件打开

<!-- 找到如下配置 -->
<session-config>
    <session-timeout>30</session-timeout>
</session-config>

<!-- 修改为该配置  -->
<session-config>
    <session-timeout>30</session-timeout>
    <cookie-config>
        <secure>true</secure>
    </cookie-config>
</session-config>

 

注意：此时Cookie 只能通过 HTTPS 协议发送