Что такое SameSite у Cookie и зачем этот атрибут нужен?

Что такое SameSite?

SameSite — это атрибут HTTP-куки, который указывает браузеру, когда отправлять куки при кросс-доменных запросах. Он был введён для повышения безопасности и предотвращения CSRF-атак (Cross-Site Request Forgery).

Значения атрибута

• Strict: куки отправляются только с запросами, инициированными с того же сайта (same-site). Даже переход по ссылке с другого сайта не передаёт куки.
• Lax: куки отправляются с навигационными GET-запросами (например, переход по ссылке), но не с POST-запросами или запросами из iframe/скриптов.
• None: куки отправляются всегда, но требуется атрибут Secure (только HTTPS).

Пример установки

Set-Cookie: sessionId=abc123; SameSite=Lax; Secure; HttpOnly

Практический пример

Предположим, пользователь авторизован на сайте bank.com. Злоумышленник создаёт страницу с формой, отправляющей POST-запрос на bank.com/transfer. Если куки не имеют SameSite, браузер отправит их, и запрос будет выполнен. С SameSite=Lax куки не отправятся с POST-запросами, что блокирует атаку.

Вывод

SameSite — важный механизм защиты от CSRF. Рекомендуется использовать Lax по умолчанию, а Strict — для критичных операций. None применяйте только при необходимости кросс-доменной аутентификации и всегда с Secure.