概要 Cookieに新たにSameSite属性というものが提案され、主要なブラウザで実装が進んでいる。 かつてはFirst-Party-Only Cookieと呼ばれていたもの。 https://tools.ietf.org/html/draft-west-first-party-cookies-05 クロスオリジンへのリクエスト送信時にCookieを付与しないことで、予期せぬ形での情報漏洩を緩和するのが目的。 CSRFを防げるという話ではなく、あくまで緩和という感じ。 このエントリを書いている段階で、Safari以外の主要ブラウザでは実装済みという感じ。 https://caniuse.com/#feat=same-site-cookie-attribute SameSite属性の値と挙動 値は lax と strict の2種類。 Set-Cookie: test=1; path=/;