Путь к атрибутам заголовка HTTP-запроса, домен против SameSite

Question

Если в заголовке ответа http свойства "set-cookie" "путь" и "домен" установлены для сайта, скажем, a.com, как путь = /, домен = a.com

Рольпути и состояния домена - путь: путь URL, который должен существовать в домене ресурса запроса: ограничить хост, на который будут отправляться куки

не так, какова роль установки свойства "SameSite"?так как он использует сценарий использования, cookie не следует отправлять вместе с межсайтовыми запросами.поскольку область действия cookie уже ограничена тем же доменом с помощью атрибутов пути и домена.

будет SameSite: Lax перезаписывает ограничение, накладываемое путем / доменом

Answer 1

Какова роль установки свойства «SameSite»?

Здесь есть две концепции: запрашиваемый ресурс и источник этого запроса. Например, вы посещаете сайт a.com и отправляете HTTP-запрос на b.com (через Ajax или загрузку изображений или гиперссылки и т. Д.). В этом случае запрашиваемый ресурс представляет собой данные на b.com, а запрос поступает из a.com

domain и path используется для ограничения того, к какому запрашиваемому ресурсу может быть применен файл cookie, а SameSite используется для ограничения того, где должен быть создан этот запрос.

Например, если domain равно c.com, оно не будет применено в запросе, отправленном на b.com, независимо от того, отправлен ли этот запрос с веб-сайта b.com или нет. Между тем, если SameSite равно Strict, пока вы не находитесь на веб-сайте b.com, HTTP-запрос к b.com не принесет этот файл cookie, даже если этот файл cookie «SameSite-Strict» domain b.com и path - это /.

Будет ли SameSite: Lax переписывать ограничение, накладываемое путем / доменом?

Нет. SameSite и domain/path - это две разные вещи.