最近在处理 iframe 跨域通讯（也就是PostMessage的应用，有兴趣可以看一下我的文章），发现了个比较头疼的问题：在 iframe 环境中，无法跨域读取内嵌网页的 cookie ，得到的结果都是空值。

本来原计划构思，iframe 通过 PostMessage 实现跨域数据共享，但这个问题的出现让我蛋碎不已...(´༎ຶД༎ຶ`) 如果不解决，前面的努力就等于全白搭了。

于是乎我便开始了各种查文档和解决方案。据文档说明：

Chrome 51 开始，浏览器的 Cookie 新增加了一个SameSite属性，用来防止 CSRF 攻击和用户追踪。 Cookie 的 SameSite 属性用来限制第三方 Cookie，从而减少安全风险。 在 Chrome 80 版本之后，SameSite 将默认设置为 Lax.

详细可以查看阮一峰的《Cookie 的 SameSite 属性》，里面有很明了的说明。

折腾良久后的结论：如果想用 iframe 无感知的实现 cookie 跨域共享，你是绕不开浏览器的限制的。除非浏览器是你做的，不然下面的方案是你唯一的出路... ╥﹏╥

想要读取内嵌网页域名下的 cookie ，你得把 cookie 的 SameSite 属性设置为 None，也就是忽略同域限制；同时，设置 Secure ，仅允许在https的环境中使用。

php:

js:

注意，单一设置 SameSite 为 None 是不生效的，必须同时设置 Secure ；而开始 Secure 之后，http 和 https协议的cookie是不互通的，小心别踩坑。