Hoy, pasé por el proceso de asegurarme de que mi servidor esté protegido contra los ataques CSRF, y me preguntaba por qué no hay solo una marca de SameOrigin que pueda establecer en mis Cookies. De la misma forma en que puede establecer HTTPOnly o Secure en cookies, creo que debería haber un indicador SameOrigin que solo enviaría la cookie si el navegador estuviera actualmente en el mismo sitio web en el que estaba configurada.
¿No sería esta una solución elegante para resolver ataques CSRF? También puede implementarlo de una manera compatible con versiones anteriores, en la que las cookies que no tienen el conjunto de SameOrigin se tratan de la forma en que siempre se han comportado las cookies.