Chrome升级到80及以上版本后可能产生的影响及解决方案

背景

谷歌在2020年2月4号发布的Chrome80版本（schedule）会逐渐屏蔽第三方Cookie，即默认为所有Cookie加上SameSite=Lax属性（Cookies default to SameSite=Lax），并且拒绝为不安全的Cookie设置SameSite=None属性（Reject insecure SameSite=None cookies），这样是为了从源头屏蔽跨站请求伪造CSRF（Cross Site Request Forgery）漏洞。

如何提前判断升级Chrome80版本是否对可视化应用有影响？

1. 在Chrome中打开chrome://flags/#same-site-by-default-cookies，将SameSite by default cookies设置为Enabled。
2. 再打开chrome://flags/#cookies-without-same-site-must-be-secure，将Cookies without SameSite must be secure设置为Enabled。
3. 重启浏览器，打开正在使用的DataV可视化应用，检查所有数据是否正常返回和展示。
   • 如果数据正常返回，则升级Chrome80版本对您的可视化应用没有影响。
   • 如果数据没有正常返回，则升级Chrome80版本会对您的可视化应用产生影响，请谨慎升级。并根据以下场景进行排查和解决。

问题场景一：使用API数据源

场景描述：组件的数据源为API类型，且该API请求需要用户登录信息（cookie）才能从第三方网站获取相关的数据。

影响：组件数据无法正常返回和展示。

解决方案：判断API使用的传输协议类型为HTTPS还是HTTP。

• 使用HTTPS协议

  检查响应头中的Set-Cookie配置是否包含了SameSite=None和Secure。如果没有包含，请在响应头中的Set-Cookie配置中添加SameSite=None和Secure。

• 使用HTTP协议（Chrome80版本）
  1. 在Chrome中打开chrome://flags/#same-site-by-default-cookies，将SameSite by default cookies设置为Disabled。
  2. 再打开chrome://flags/#cookies-without-same-site-must-be-secure，将Cookies without SameSite must be secure设置为Disabled。
  3. 重启浏览器。
• 使用HTTP协议（Chrome91及以上版本）
  1. 在Chrome中打开chrome://flags/，在页面中搜索same，将Enable removing SameSite=None cookies设置为Disabled。
  2. 再打开chrome://flags/，在页面中搜索same，将Schemeful Same-Site设置为Disabled。
  3. 重启浏览器。

问题场景二：使用HTTP本地部署

场景描述：使用HTTP协议访问DataV服务。

影响：Chrome80会拦截HTTP协议下的登录功能，导致本地部署服务无法使用。