Si una cookie (la cookie de autenticación en particular) tiene el atributo httpOnly establecido, ¿el atributo sameSite agrega alguna otra capa de seguridad?
En mi opinión, sameSite se usa para prevenir CSRF, pero httpOnly mitiga eso, ¿no?
Lo único en lo que puedo pensar es que el servidor eliminaría la cookie sameSite si el atacante la tomara y la enviara al servidor desde un dominio diferente (no estoy seguro de qué uso tendría).