Какова роль установки свойства «SameSite»?
Здесь есть две концепции: запрашиваемый ресурс и источник этого запроса. Например, вы посещаете сайт a.com и отправляете HTTP-запрос на b.com (через Ajax или загрузку изображений или гиперссылки и т. Д.). В этом случае запрашиваемый ресурс представляет собой данные на b.com, а запрос поступает из a.com
domain
и path
используется для ограничения того, к какому запрашиваемому ресурсу может быть применен файл cookie, а SameSite
используется для ограничения того, где должен быть создан этот запрос.
Например, если domain
равно c.com
, оно не будет применено в запросе, отправленном на b.com, независимо от того, отправлен ли этот запрос с веб-сайта b.com или нет. Между тем, если SameSite
равно Strict
, пока вы не находитесь на веб-сайте b.com, HTTP-запрос к b.com не принесет этот файл cookie, даже если этот файл cookie «SameSite-Strict» domain
b.com
и path
- это /
.
Будет ли SameSite: Lax переписывать ограничение, накладываемое путем / доменом?
Нет. SameSite
и domain/path
- это две разные вещи.