Si una cookie (la cookie de autenticación en particular) tiene el atributo httpOnly establecido, ¿el atributo sameSite agrega alguna otra capa de seguridad?
En mi opinión, sameSite se usa para prevenir CSRF, pero httpOnly mitiga eso, ¿no?
Lo único en lo que puedo pensar es que el servidor eliminaría la cookie sameSite si el atacante la tomara y la enviara al servidor desde un dominio diferente (no estoy seguro de qué uso tendría).
No, HTTPOnly no mitiga los ataques CSRF ... De hecho, necesita SameSite para eso.
Lo que HTTPOnly hace es proteger sus cookies para que no sean extraídas y abusadas por un atacante que haya encontrado una vulnerabilidad XSS en su sitio web. SameSite, por otro lado, evita que se envíen junto con solicitudes de diferentes orígenes, lo que puede ocurrir sin que el atacante tenga acceso a las cookies. Esto no elimina la necesidad de protección CSRF en su aplicación, ya que el soporte del navegador para el atributo SameSite está actualmente limitado y el RFC aún se encuentra en estado de borrador, pero su configuración puede ser útil como una medida de defensa en profundidad.
Lea otras preguntas en las etiquetas cookies