SameSite

SameSite — флаг для куки, добавленный в 2016 году, позволяющий контролировать, будет ли браузер отправлять cookies, если страница посылает запрос на другой домен.. Типо хорошая штука, но не поддерживается всеми браузерами

Причем, same site — это не то же понятие, что и same origin. Вот эти два домена — один сайт (eTLD+1):

one.example.com и two.example.com

SameSite=Lax

куки передаются при переходе на сайт с других сайтов по прямой ссылке, но не передаются при других запросах с них, например при AJAX-запросе или загрузке картинок

Значение по умолчанию (если флаг отсутствует); флаг Secure обязателен

SameSite=Strict

cookies передаются только при запросах и переходах с домена, к которому они относятся

SameSite=None

cookies передаются при любых запросах; флаг Secure обязателен

PreviousHSTS NextContent-Security-Policy (CSP)

Last updated 2 years ago