Чтение MDN для SameSite=Lax, в нем говорится:
Файлы cookie могут быть отправлены с помощью навигации верхнего уровня и будут отправлены вместе с запросом GET, инициированным третьим сайт партии. Это значение по умолчанию в современных браузерах.
Для меня это звучит так, как будто я мог бы инициировать выборку в JavaScript от третьей стороны, и пока это GET, файлы cookie будут отправлены.
Но согласно этот ответ , даже запросы GET отправляются только во время навигации верхнего уровня, ie не из JS.
Я предполагаю ответ правильный. Я действительно на это надеюсь, потому что я пытаюсь защитить API и хочу, чтобы файлы cookie отправлялись только тогда, когда пользователь переходит на сторонний сайт, ie для взаимодействий Oauth2 и c. SameSite=Strict не работает для меня, потому что если я ссылаюсь на ресурс на 1-м сервере, он все равно блокируется, если реферер указывает, что навигация пришла откуда-то еще. Обновление страницы тоже не работает. Мне нужно вручную перейти к URL-адресу.
РЕДАКТИРОВАТЬ: Я только что проверил это, и поведение такое, как я надеялся. Файлы cookie не отправляются с запросами SameSite=Lax. Только меня смущает формулировка MDN?