1.Strict

Strict 最为严格，齐全禁止第三方Cookie，跨站点时，任何状况下都不会发送Cookie。换言之，只有以后网页的URL与申请指标统一，才会带上Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规定过于严格，可能造成十分不好的用户体验。比方，以后网页有一个 GitHub 链接，用户点击跳转就不会带有 GitHub 的 Cookie，跳转过来总是未登陆状态。

2.Lax

Lax规定稍稍放宽，大多数状况也是不发送第三方 Cookie，然而导航到指标网址的 Get 申请除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到指标网址的 GET 申请，只包含三种状况：链接，预加载申请，GET 表单。详见下表。

设置了Strict或Lax当前，根本就杜绝了 CSRF 攻打。当然，前提是用户浏览器反对 SameSite 属性。

Chrome 打算将Lax变为默认设置。这时，网站能够抉择显式敞开SameSite属性，将其设为None。不过，前提是必须同时设置Secure属性（Cookie 只能通过 HTTPS 协定发送），否则有效。

上面的设置有效：

Set-Cookie: widget_session=abc123; SameSite=None

上面的设置无效：

Set-Cookie: widget_session=abc123; SameSite=None; Secure            //须要同时设置Secure属性：Cookie只能通过https协定发送

Chrome80为用户引入了两个独立设置：

SameSite by default cookies（默认Cookies): 设置后，所有未指定的SameSite属性的Cookie将主动强制应用SameSite = Lax
Cookie without SameSite must be secure（没有SameSite的Cookie必须是平安的）：设置后，没有SameSite属性或具备SameSite属性的Cookie Set-Cookie: SameSite = None 须要是平安的。在此上下文中，平安是指所有浏览器申请都必须遵循 HTTPS 协定。不合乎此要求的 Cookie 将被回绝。所有网站都应应用HTTPS来满足此要求。