文档:SameSite cookies - HTTP | MDN
1.简介
响应标头 Set-Cookie 的SameSite属性允许声明 cookie 是否应限制为第一方或同一站点上下文。
准确理解站点的含义会很有帮助。站点是域后缀和它之前的域部分的组合。
如 www.web.dev域是web.dev站点的一部分。
2.第一方和第三方
如果查看站点cookie,会注意到存在用于各种域的 cookie,而不仅仅是当前访问的域。
与当前站点的域相匹配的 Cookie,即在浏览器地址栏中显示的内容,称为第一方Cookie。
来自当前站点以外域的 cookie 称为第三方cookie。
这不是一个绝对标签,而是相对于用户的上下文
相同的 cookie 可以是第一方或第三方,具体取决于用户当时所在的站点。
3.原理
SameSite属性接受三个值:
Lax:Cookie 不会在正常的跨站点子请求中发送,而是在用户导航到源站点时发送。
如果在最近的浏览器版本中没有明确指定SameSite,这是默认的值
Lax替换None为默认值是为了确保用户