Set-Cookie: SameSite
Cookieを付与するかどうかをreqの発行元を見て判断する
CSRFを防止する
RFC6265bis
3つの値のいずれかを指定する
Strict
top-level navigationを含む全てのrequestに対して、
そのrequestの発行元と、宛先がSame Originである場合にのみCookieを付与する
例えば、AとBのサイトがあり
AにStrictを指定しており、
Aにログインしている状態で、
Bの中にAへのリンクがある時、
そのリンクを踏んでAに遷移してもlogin状態にはならない
Lax
defaultはコレ
GETに対してはNoneと同じ
それ以外はStrictと同じ
None
どこからrequestが投げられたか問わずCookieを付与する
これを指定すると、自動でSet-Cookie: Secureも指定されるようになっているらしい ref
参考
/mrsekut-book-4908686106/140
#WIP
#??
CSRFは防止できるけど、XSSは防止できないよね?
https://speakerdeck.com/masashi/samesite-cookie
https://developers-jp.googleblog.com/2019/11/cookie-samesitenone-secure.html
https://laboradian.com/same-site-cookies/