用处: Cookie可以视作为网站添加持久化状态的方式之一。Cookie不断壮大,但也存在遗留问题,为了解这个问题,浏览器厂商(包括chrom, Friefox, Edge)正在更改默认行为,以强制实施更多保护隐私的默认设置。
目的:一个网站中有可能存在第一方Cookie和第三方Cookie, 何为第一方Cookie? 当前网站域名匹配(即浏览器地址栏中显示的地址)的 Cookie 称为第一方 Cookie(当前网站存在的Cookie),否则就是第三方 。第一方和第三方是相对概念,同一个 Cookie 在当前网站是第一方,对别的网站而言,是第三方,这取决于用户当时所出的上下文环境。 CSRF攻击就是依赖第三方的的机制带来安全隐患和隐私问题的。这时候就通过 SameSite属性来明确Cookie的使用。
Strict, Lax, None:
Strict: Cookie只会在第一方上下文中传输;对用户而言,除非请求网址跟浏览器地址栏地址匹配,否则不会发送 Cookie。
Lax: 如果你的网站是通过顶级导航访问(top-level navigations)的,那么就会发送 Cookie。
None:选项是不指定值, 这在以前是一种隐式的声明、在所有上下文中发送都发送 Cookie。
原文:https://www.cnblogs.com/huazhen123/p/13519245.html