Что такое SameSite

SameSite — это атрибут cookie, который определяет, будут ли куки отправляться с кросс-сайтовыми запросами. Он помогает защитить от CSRF-атак и предотвращает утечку данных.

Значения:

• Strict — куки отправляются только в рамках текущего домена.
• Lax (по умолчанию в современных браузерах) — куки отправляются при безопасных методах (GET) и навигации.
• None — куки отправляются всегда (требует Secure).

Пример:

document.cookie = "session=123; SameSite=Lax; Secure";

Нюансы:

• Для SameSite=None обязательно указывать Secure (HTTPS).
• В старых браузерах может не поддерживаться.