Set-Cookie: SameSite
Cookieを付与するかどうかをreqの発行元を見て判断する
3つの値のいずれかを指定する
Strict
そのrequestの発行元と、宛先がSame Originである場合にのみCookieを付与する
例えば、AとBのサイトがあり
AにStrictを指定しており、
Aにログインしている状態で、
Bの中にAへのリンクがある時、
そのリンクを踏んでAに遷移してもlogin状態にはならない
Lax
defaultはコレ
GETに対してはNoneと同じ
それ以外はStrictと同じ
None
どこからrequestが投げられたか問わずCookieを付与する
参考
CSRFは防止できるけど、XSSは防止できないよね?