最近有个项目需要嵌入在另一个系统的iframe中运行，但是一旦运行在iframe中，就出现用户无法登录的象限。系统后台采用Spring boot+Spring Security进行鉴权，用户登录后会写入一个session的cookie，但是当页面第二次请求时，会发现cookie并没有携带在请求上，最后查找了一些资料，发现是cookie的SameSite属性在搞鬼。

上图是用户登录时，Spring写入的cookie，我们发现最后一个SameSite属性值为Lax。参考相关文档(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#Syntax)，SameSite的属性可以为Strict，Lax，None。

Strict为严格模式，在跨域时，任何情况下都不会发送Cookie，Lax稍微宽松些，但大部分情况也不会发送底三方的Cookie，因此需要再跨域的情况下能正常读取cookie，需要将SameSite属性设置为None。

以下是在Spring boot下的设置方式：

@Bean
public CookieSerializer httpSessionIdResolver(){
    DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
    cookieSerializer.setSameSite(null);
    return cookieSerializer;
}

再次运行项目，查看控制台发现SESSION的SameSite属性没了，用户终于可以正常登陆了