点击链接后，为什么我的网络浏览器不会发送 cookie，但在输入 url 时却正常发送？

在IT行业这个发展更新速度很快的行业，只有不停止的学习，才不会被行业所淘汰。如果你是Golang学习者，那么本文《点击链接后，为什么我的网络浏览器不会发送 cookie，但在输入 url 时却正常发送？》就很适合你！本篇内容主要包括##content_title##，希望对大家的知识积累有所帮助，助力实战开发！

我正在用 golang/html 创建一个 web 应用程序。我正在实现注册、会话、电子邮件验证和登录。

我的代码可以工作，但是我注意到一些奇怪的浏览器行为。当用户第一次注册时，我的应用程序将向他们发送一封电子邮件，其中包含一个链接，网址中带有唯一的随机数（使用过一次的数字）。这是为了确保用户能够通过该地址接收我们发送的电子邮件并“验证他们的电子邮件”，这是许多网络应用程序的标准做法。

Please click the following link to verify your account: http://localhost:8080/verify-email/55c17d2c

我注意到，当我收到这封电子邮件时，如果我单击电子邮件中的链接，浏览器将按预期在新选项卡中打开该链接，但是，它不会针对与该选项卡关联的请求发送任何 cookie。

但是当我手动将链接复制并粘贴到新选项卡中并按 enter 键时，它会很好地发送 cookie。是什么赋予了？这是某种未记录的安全功能吗？我该怎么办？

我使用 https://github.com/six-ddc/httpflow 捕获 web 浏览器和服务器应用程序之间的 http 请求和响应日志。我有两个单独的日志，其中一个捕获了我单击链接的注册流程，另一个捕获了我将链接复制并粘贴到新选项卡中的注册流程。

记录电子邮件中链接的点击位置：https://paste.cyberia.club/~forest/2f3fce7dcc71fc095341eeaefb33f20883c79886

记录链接从电子邮件复制并粘贴到网址栏的位置：https://paste.cyberia.club/~forest/0623f76cfee339e91d2213dd8f4c7710c6fa2797

请注意，我在 firefox 和 google chrome 上尝试过此操作，我还使用真实域和 https 证书进行了尝试，在所有浏览器和设置中都得到了相同的行为。

这是我的限制：

我希望应用程序在禁用 javascript 的情况下也能正常工作，但是，如果基于 javascript 的解决方案简单、安全并且使网站使用起来更愉快，我愿意接受它们。例如，我使用 javascript 在发送到服务器进行登录之前对客户端的密码进行哈希处理。但如果禁用 javascript，则会发送原始密码。

我不希望用户在点击链接验证其电子邮件地址后必须再次登录。

我不希望电子邮件地址中的链接代表进入用户帐户的“免费通行证”。我想要求用户先登录（或以其他方式进行身份验证），然后才能验证其电子邮件地址。例如，如果有人窃取该电子邮件并在目标用户之前点击该链接，我不希望电子邮件窃贼能够接管该帐户。

解决方案

哎呀，我刚刚弄清楚了这一点，我想在我的 cookie 上使用 Lax SameSite 策略：

https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#SameSite_attribute

今天带大家了解了的相关知识，希望对你有所帮助；关于Golang的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~