Cookie 的 SameSite 属性用来限度第三方 Cookie，从而缩小平安危险。

它能够设置三个值：

• Strict
• Lax
• None

1.Strict

Strict 最为严格，齐全禁止第三方 Cookie，跨站点时，任何状况下都不会发送 Cookie。换言之，只有以后网页的 URL 与申请指标统一，才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规定过于严格，可能造成十分不好的用户体验。比方，以后网页有一个 GitHub 链接，用户点击跳转就不会带有 GitHub 的 Cookie，跳转过来总是未登陆状态。

2.Lax

Lax 规定稍稍放宽，大多数状况也是不发送第三方 Cookie，然而导航到指标网址的 Get 申请除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到指标网址的 GET 申请，只包含三种状况：链接，预加载申请，GET 表单 。详见下表。

设置了 Strict 或 Lax 当前，根本就杜绝了 CSRF 攻打。当然，前提是用户浏览器反对 SameSite 属性。

3.None

Chrome 打算将 Lax 变为默认设置。这时，网站能够抉择显式敞开 SameSite 属性，将其设为 None。不过，前提是必须同时设置 Secure 属性（Cookie 只能通过 HTTPS 协定发送），否则有效。

上面的设置有效：

Set-Cookie: widget_session=abc123; SameSite=None

上面的设置无效：

Set-Cookie: widget_session=abc123; SameSite=None; Secure            // 须要同时设置 Secure 属性：Cookie 只能通过 https 协定发送

Chrome 新增 Cookie 设置

Chrome80 为用户引入了两个独立设置：

• SameSite by default cookies（默认 Cookies): 设置后，所有未指定的 SameSite 属性的 Cookie 将主动强制应用 SameSite = Lax
• Cookie without SameSite must be secure（没有 SameSite 的 Cookie 必须是平安的）：设置后，没有 SameSite 属性或具备 SameSite 属性的 Cookie Set-Cookie: SameSite = None 须要是平安的 。在此上下文中， 平安是指所有浏览器申请都必须遵循 HTTPS 协定。不合乎此要求的 Cookie 将被回绝。所有网站都应应用 HTTPS 来满足此要求。