这种Chrome独有的403问题我之前也踩过坑，结合你的场景（Play! Framework + Nginx代理 + SSL证书），大概率是Chrome的安全策略或者代理层的配置拦截了请求——毕竟你说POST请求根本没到控制器，说明拦截发生在应用之前（要么是浏览器本身，要么是Nginx）。下面给你一步步排查和解决的方案：

1. 优先检查Play框架的CSRF Cookie SameSite配置 #

这是Chrome特有的高频问题：Chrome对SameSite Cookie的限制比Firefox/IE严格很多，尤其是在HTTPS环境下。Play默认的CSRF Token Cookie可能没设置SameSite=None，导致Chrome在代理场景下直接屏蔽这个Cookie，Play的CSRF过滤器会因为找不到有效Token而直接返回403，请求根本到不了你的控制器。

解决方法： #

在Play的application.conf里添加/修改以下配置：

# 配置CSRF Cookie的SameSite属性为None（必须配合secure=true）
play.filters.csrf.cookie.sameSite = "None"
# 因为你用了SSL，所以必须开启secure，否则Chrome会拒绝SameSite=None的Cookie
play.filters.csrf.cookie.secure = true

修改后重启Play应用和Nginx，然后用Chrome无痕模式测试（避免旧缓存干扰）。

2. 确保Nginx正确传递请求头给Play应用 #

Nginx作为反向代理，如果没有正确传递Host和X-Forwarded系列头，Play框架可能无法正确识别请求的来源，触发安全拦截。

解决方法： #

在Nginx对应站点的location /块中添加以下配置：

location / {
    proxy_pass http://你的Play应用地址; # 比如http://127.0.0.1:9000
    # 传递原始请求的Host头
    proxy_set_header Host $host;
    # 传递客户端真实IP
    proxy_set_header X-Forwarded-For $remote_addr;
    # 传递原始请求的协议（HTTPS）
    proxy_set_header X-Forwarded-Proto $scheme;
    # 传递原始请求的主机名
    proxy_set_header X-Forwarded-Host $host;
}

同时在Play的application.conf里信任Nginx代理：

# 添加你的Nginx服务器IP到信任列表，多个用逗号分隔
play.http.forwarded.trustedProxies = ["127.0.0.1"]
# 启用转发头处理
play.http.forwarded.enabled = true

3. 验证Chrome中的CSRF Cookie状态 #

打开Chrome开发者工具（F12）→ 切换到Application标签 → 左侧选择Cookies→ 查看你的域名下是否存在PLAY_CSRF_TOKEN：

• 如果没有这个Cookie：检查Twirl模板中的@CSRF.formField是否正确渲染（查看页面源码，应该有一个隐藏的<input name="csrfToken" value="xxx">），如果没渲染出来，说明Play的CSRF依赖没正确引入。
• 如果Cookie存在，但SameSite属性不是None：说明第一步的配置没生效，检查Play的配置文件是否正确加载，重启应用后再验证。

4. 排除Nginx安全模块的误拦截 #

如果你Nginx安装了mod_security之类的安全模块，有可能误把登录POST请求判定为恶意请求，直接返回403。

解决方法： #

查看Nginx的错误日志（通常路径是/var/log/nginx/error.log），执行命令：

tail -f /var/log/nginx/error.log

如果日志里出现mod_security相关的拦截记录，你可以临时关闭该模块测试，或者添加规则白名单允许登录请求。

内容的提问来源于stack exchange，提问作者Martin Kohler