新项目要嵌入之前的一个项目，而且该被嵌入项目之前提供给第三方使用，他们也是用的iframe。以前都是好的，但是现在发现要是iframe的地址和父级的地址不同源，项目登录时无法设置cookie。

一开始以为后端出问题了，后来换火狐、ie edge 都是可以的，并且其他人的Chrome也有可以用的。

并且接口设置cookie时提示：“this set-cookie didnot specify a "sameSite" attribute and was defaulted to "sameSite=Lax" and broke the same rules specified in the SameSiteLax value”。

从Chrome 51开始，浏览器的Cookie新增加了一个SameSite属性，用来防止CSRF攻击和用户追踪。
该设置当前默认是关闭的，但在Chrome 80之后，该功能默认已开启。

所以当你无法使用某些网站第三方登录功能的时候，请查看一下是否受到了该设置的影响。

方案1. 打开Chrome设置，将chrome://flags/#same-site-by-default-cookies禁用，然后重启浏览器。方案2. 使用低版本浏览器，可选择70版。

方案1. 将SameSite属性值改为None, 同时 将secure属性设置为
true。且需要将后端服务域名必须使用https协议访问。
方案2. 由于设置SameSite = None，有SCRF风险，所以，最佳方案是用token代替Cookie方式作验证。

详情可见：https://www.cnblogs.com/gxp69/p/12565927.html