Se un cookie (in particolare il cookie auth) ha un attributo httpOnly
impostato, l'attributo sameSite
aggiunge un altro livello di sicurezza?
Da quanto ho capito, sameSite
è usato per prevenire CSRF, ma httpOnly
lo attenua, no?
L'unica cosa che posso pensare è che il server lascerebbe cadere il cookie sameSite
se l'hacker ha preso possesso di esso e lo ha inviato al server da un dominio diverso (non è sicuro quale uso avrebbe).