SameSite=None— plik cookie jest wysyłany we „wszystkich kontekstach” — mniej więcej tak, jak działały rzeczy przed wynalezieniem SameSite.SameSite=Strict—plik cookie jest wysyłany tylko w przypadku żądań pochodzących z tej samej domeny. Nawet wchodząc na witrynę z linku spoza witryny, plik cookie nie zostanie wyświetlony, chyba że później odświeżysz stronę lub nawigujesz w obrębie witryny.SameSite=Lax—plik cookie jest wysyłany, jeśli przejdziesz do witryny przez kliknięcie linku z innej domeny, ale nie, jeśli prześlesz formularz. To jest na ogół to, co chcesz chronić przed atakami CSRF!
https://simonwillison.net/2021/Aug/3/samesite/
https://samesite-lax-demo.vercel.app/
