La respuesta real debería ser, como siempre: depende de su escenario de uso.
El valor Strict
evitará que la cookie sea enviada por el navegador
al sitio de destino en todos los contextos de navegación entre sitios, incluso cuando se sigue una
enlazar. Por ejemplo, para un sitio web similar a GitHub, esto significaría que si un usuario conectado
sigue un enlace a un proyecto privado de GitHub publicado en un foro de discusión corporativo
o correo electrónico, GitHub no recibirá la cookie de la sesión y el usuario no podrá
Para acceder al proyecto. Un sitio web bancario sin embargo lo más probable es que no quiera
para permitir que las páginas transaccionales se vinculen desde sitios externos, por lo que el indicador Strict
sería más apropiado aquí.
El valor predeterminado Lax
proporciona un equilibrio razonable entre la seguridad
y usabilidad para sitios web que desean mantener la sesión de inicio de sesión del usuario después de
El usuario llega desde un enlace externo. En el escenario GitHub anterior, la cookie de sesión
Se permitiría seguir un enlace regular desde un sitio web externo mientras se bloquea.
en métodos de solicitud propensos a CSRF (por ejemplo, POST
).