从 80 版开始,Chrome 和后来的 Safari 都引入了一种新的 Cookie 安全模型。此模式旨在通过名为的设置向第三方站点引入有关Cookie可用性的安全控制措施 SameSite
. 有关更多详细信息,请参阅本文。
此设置的默认值 (SameSite=Lax
) 可能会导致 AEM 实例或服务之间的身份验证不起作用。这是因为这些服务的域或 URL 结构可能不受此 Cookie 策略的约束。
要解决此问题,您需要设置 SameSite
的Cookie属性 None
用于登录令牌。
SameSite=None
设置仅在协议安全 (HTTPS) 时应用。
如果协议不安全 (HTTP),则将忽略该设置,服务器将显示以下警告消息:
WARN com.day.crx.security.token.TokenCookie Skip 'SameSite=None'
您可以按照以下步骤添加设置:
http://serveraddress:serverport/system/console/configMgr
的 Web 控制台None
,如下图所示login-token
Cookie 将具有 None
属性集,并且将包含在跨站点请求中。