背景

本地运行前端项目，通过localhost访问，向后端接口发送请求时后端一直无法获取当前用户登录态，接口返回用户未登录信息。

原因分析

通过排查后发现当前项目向跨域域名发送POST请求时一直无法携带Cookie进行请求，导致后端接口无法通过Cookie获取当前用户的登录态。

原因是Chrome 80版本后当服务端未指定HTTP响应头的SameSite属性时，Chrome默认的SameSite策略为Lax，该策略中当向跨域域名发送POST请求时无法携带Cookie。

不同场景的请求携带Cookie情况：

请求类型	示例	正常情况	Lax
链接	`<a href="https://juejin.cn/post/..."></a>`	发送 Cookie	发送 Cookie
预加载	`<link rel="prerender" href="https://juejin.cn/post/..."/>`	发送 Cookie	发送 Cookie
GET 表单	`<form method="GET" action="...">`	发送 Cookie	发送 Cookie
POST 表单	`<form method="POST" action="...">`	发送 Cookie	不发送
iframe	`<iframe src="https://juejin.cn/post/..."></iframe>`	发送 Cookie	不发送
AJAX	`$.get("...")`	发送 Cookie	不发送
Image	`<img src="https://juejin.cn/post/...">`	发送 Cookie	不发送

PS: 上表来自于：Cookie 的 SameSite 属性 – 阮一峰的网络日志 (ruanyifeng.com)

解决方案

低于91版本的Chrome浏览器：

Chrome中访问地址chrome://flags/#same-site-by-default-cookies，将SameSite by default cookies设置为Disabled后重启浏览器再运行项目即可解决。该设置默认情况下会将未指定SameSite属性的请求看做SameSite=Lax来处理。

91版本及以上的Chrome浏览器：（方案1中的设置在91版本后已被Chorme移除）

Windows：打开Chrome快捷方式的属性，在目标后添加--disable-features=SameSiteByDefaultCookies，点击确定，关闭所有Chrome窗口包括Chrome浏览器后再重启浏览器运行项目即可解决。

Mac：Mac系统下可以通过命令行携带参数打开浏览器的方式来解决，前提须关闭所有浏览器窗口并退出浏览器后再进行操作。

开启Chrome命令：open -a "Google Chrome" --args --disable-features=SameSiteByDefaultCookies
开启Chromium版Edge浏览器命令：open -a "Microsoft Edge" --args --disable-features=SameSiteByDefaultCookies

94及以上版本的Chrome浏览器

Chromium项目官网提到在94版本通过命令行禁用设置SameSite默认值的方式会被移除，到时方案1和方案2的方式都将无法使用，后续可通过nginx等代理工具或软件将跨域请求转为非跨域请求来解决改问题。

The flags #same-site-by-default-cookies and #cookies-without-same-site-must-be-secure have been removed from chrome://flags as of Chrome 91, as the behavior is now enabled by default. In Chrome 94, the command-line flag –disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure will be removed.