Se un cookie (in particolare il cookie auth) ha un attributo httpOnly impostato, l'attributo sameSite aggiunge un altro livello di sicurezza?
Da quanto ho capito, sameSite è usato per prevenire CSRF, ma httpOnly lo attenua, no?
L'unica cosa che posso pensare è che il server lascerebbe cadere il cookie sameSite se l'hacker ha preso possesso di esso e lo ha inviato al server da un dominio diverso (non è sicuro quale uso avrebbe).
No, HTTPOnly non attenua gli attacchi CSRF ... In effetti, hai bisogno di SameSite per questo.
Ciò che HTTPOnly fa è proteggere i cookie dall'essere estratti e maltrattati da un utente malintenzionato che ha riscontrato una vulnerabilità XSS sul tuo sito web. Lo stesso SameSite, invece, impedisce che vengano inviati insieme a richieste di origini diverse, che possono verificarsi senza che l'utente malintenzionato abbia accesso ai cookie. Ciò non elimina la necessità di protezione CSRF nella tua applicazione poiché il supporto del browser per l'attributo SameSite è attualmente limitato e il RFC è ancora in stato di bozza, ma l'impostazione può essere utile come misura di difesa in profondità.
Leggi altre domande sui tag cookies