La domanda è nel titolo. Se ci sono differenze, quali sono?
La domanda è nel titolo. Se ci sono differenze, quali sono?
Is setting Same-Site attribute of a cookie to lax the same as not setting the Same-Site attribute?
No. L'impostazione di SameSite=lax
è più sicura di omettere l'attributo. (Ma se la tua implementazione si basa attualmente su richieste di origine incrociata, verifica che l'aggiunta dell'attributo non interrompa nulla.)
Ecco le differenze:
Quando non imposti l'attributo SameSite
, il cookie viene sempre inviato.
Con SameSite=lax
, il cookie viene inviato solo su richieste sullo stesso sito o sulla navigazione di primo livello con un metodo HTTP sicuro. Cioè, non verrà inviato con richieste di cross-domain POST
o durante il caricamento del sito in un frame di origine incrociata, ma verrà inviato quando navigherai al sito tramite un link standard di primo livello <a href=...>
.
Con SameSite=strict
(o un valore non valido), il cookie non viene mai inviato in richieste cross-site. Anche quando fai clic su un link di livello superiore su un dominio di terze parti sul tuo sito, il browser rifiuterà di inviare il cookie.
Per ulteriori dettagli, consulta la bozza RFC e quella di Sjoerd < a href="https://www.sjoerdlangkemper.nl/2016/04/14/preventing-csrf-with-samesite-cookie-attribute/"> post del blog .
(Prendi anche nota del supporto browser attualmente limitato .)