问题描述：在使用ASP.NET Core时，若在iframe中加载了第三方网站，且这个网站设置了cookie，则在使用ASP.NET Core访问相同域时，将无法获取到该Cookie。这会导致应用程序无法获得必要的安全信息。

1.跨域Cookie策略 将应用程序的Cookie设置添加到响应中，以启用跨站点请求。

在Startup.cs中添加以下代码：

public void ConfigureServices(IServiceCollection services)
{
    //...
    services.AddCors(options =>
    {
        options.AddPolicy("AllowAll", builder =>
        {
            builder.AllowAnyOrigin()
                .AllowAnyMethod()
                .AllowAnyHeader()
                .WithExposedHeaders("content-disposition")
                .AllowCredentials();
        });
    });
    //...
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    //...
    app.UseCors("AllowAll");
    //...
}

2.设置SameSite cookie属性 在ASP.NET Core版本3.1及更高版本中，默认情况下会设置SameSite属性为Lax，可防止跨站点请求伪造(csrf)，但它也会阻止跨域iframe访问Cookie。可将SameSite属性设置为None，以启用跨域iframe访问Cookie。 在Startup.cs中更改CookiePolicyOptions：

public void ConfigureServices(IServiceCollection services)
{
    //...
    services.Configure(options =>
    {
        options.Secure = CookieSecurePolicy.Always;
        options.MinimumSameSitePolicy = SameSiteMode.None;
    });
    //...
}

3.添加响应头 在ASP.NET Core应用程序中，如果使用的是Serilog，则在appsettings.json中添加以下代码以防止添加响应头时出错：

"Serilog": {
    "Properties": {
        "headers": [
            "Content-Disposition"
        ]
    }
}

在中间件管道中添加响应头：