最近有个项目需要嵌入在另一个系统的iframe中运行，但是一旦运行在iframe中，就出现用户无法登录的象限。系统后台采用Spring boot+Spring Security进行鉴权，用户登录后会写入一个session的cookie，但是当页面第二次请求时，会发现cookie并没有携带在请求上，最后查找了一些资料，发现是cookie的SameSite属性在搞鬼。 a 上图是用户登录时，Spring写入的cookie，我们发现最后一个SameSite属性值为Lax。参考相关文档(https://developer.mozilla.org/en-US/docs/Web/HTTP/Header……