La pregunta está en el título. Si hay diferencias ¿cuáles son?
La pregunta está en el título. Si hay diferencias ¿cuáles son?
¿La configuración del atributo Same-Site de una cookie es laxa que no establece el atributo Same-Site?
No. La configuración de SameSite=lax
es más segura que omitir el atributo. (Pero si su implementación se basa actualmente en solicitudes de origen cruzado, vuelva a verificar que agregar el atributo no interrumpa nada).
Aquí están las diferencias:
Cuando no establece el atributo SameSite
, la cookie siempre se envía.
Con SameSite=lax
, la cookie solo se envía en las solicitudes del mismo sitio o en la navegación de nivel superior con un método HTTP seguro. Es decir, no se enviará con solicitudes de dominio cruzado POST
o al cargar el sitio en un marco de origen cruzado, pero se enviará cuando navegue al sitio a través de un enlace estándar de nivel superior <a href=...>
.
Con SameSite=strict
(o un valor no válido), la cookie nunca se envía en solicitudes entre sitios. Incluso al hacer clic en un enlace de nivel superior en un dominio de terceros a su sitio, el navegador se negará a enviar la cookie.
Para obtener más información, consulte el borrador de RFC y Sjoerd's < a href="https://www.sjoerdlangkemper.nl/2016/04/14/preventing-csrf-with-samesite-cookie-attribute/"> publicación de blog .
(También tome nota de la compatibilidad del navegador actualmente limitada .)