PrepBro
← Назад к вопросам

Что такое параметр Same Site в Cookies?

2.0 Middle🔥 171 комментариев
#JavaScript Core

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI7 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Что такое параметр SameSite в Cookies?

Параметр SameSite — это важнейший механизм безопасности, добавленный к стандарту HTTP Cookies, который контролирует, когда и как браузер отправляет cookie с cross-site (межсайтовыми) запросами. Его основная цель — предотвратить распространенные атаки, такие как CSRF (Cross-Site Request Forgery) и защитить от уязвимостей, связанных с неправильным использованием cookies в современных веб-приложениях.

Значение параметра SameSite

Параметр принимает одно из трех значений, которые определяют политику отправки cookie:

1. SameSite=Strict (Строгий режим)

Это самый безопасный вариант. Cookie будет отправлен только в запросах, происходящих с того же сайта (same site). Это означает, что если пользователь переходит по ссылке с другого сайта (например, из почты или социальной сети) на ваш сайт, браузер не отправит эту cookie в первоначальном запросе. Это полностью защищает от CSRF, но может негативно повлиять на пользовательский опыт (например, пользователь "вылетает" из сессии после перехода по внешней ссылке).

// Пример установки cookie с Strict в Express.js
res.cookie('sessionId', 'abc123', {
  httpOnly: true,
  secure: true,
  sameSite: 'strict'
});

2. SameSite=Lax (Режим допущения)

Это рекомендуемое и наиболее распространенное значение по умолчанию в современных браузерах (например, Chrome с 2020 года). Cookie отправляется с запросами:

  • С того же сайта (same site).
  • В top-level navigation (переходы по ссылкам, например, <a href="...">), даже если они cross-site. Это позволяет сохранить сессию при переходе из внешнего источника.
  • Не отправляется с cross-site запросами, которые не являются top-level navigation (например, запросы из <iframe>, fetch() из другого сайта, или отправка форм POST через другие сайты).

Этот режим обеспечивает баланс между безопасностью и удобством, защищая от большинства CSRF атак, но позволяя пользователям сохранять сессии при обычных переходах по ссылкам.

// Lax режим обычно используется для сессионных cookies
res.cookie('userSession', encryptedData, {
  httpOnly: true,
  secure: true,
  sameSite: 'lax' // Значение по умолчанию в современных браузерах для cookies без явного SameSite
});

3. SameSite=None (Отсутствие ограничений)

Это значение разрешает отправку cookie в любых cross-site запросах. Однако, для его работы cookie обязательно должен также иметь атрибут Secure (требуется передача только через HTTPS). Этот режим необходим для функционала, который требует передачи cookies между разными сайтами, например:

  • Интеграции с социальными сетями (кнопки "Like", "Share").
  • Внешние платежные системы (платежные шлюзы на другом домене).
  • Фреймы и кросс-сайтовые API-вызовы.
// Cookie для кросс-сайтовой интеграции (например, платежный шлюз)
res.cookie('paymentGatewaySession', token, {
  httpOnly: true,
  secure: true, // Обязательно при SameSite=None
  sameSite: 'none'
});

Почему SameSite критически важен для фронтенд разработчика

  1. Безопасность против CSRF: Основной фронтенд-фокус. Атака CSRF использует авторизационные cookies пользователя, отправляя с другого сайта запрос, который пользователь не предназначал (например, перевод денег). SameSite=Lax или Strict блокируют отправку таких cookies в cross-site POST-запросах, предотвращая атаку на уровне браузера.

  2. Влияние на поведение приложения: Разработчик должен четко понимать, какие cookies нужны для кросс&сайтовых операций и явно устанавливать SameSite=None и Secure для них. Неправильная конфигурация может привести к "поломке" интеграций с第三方 сервисами.

  3. Современные стандарты браузеров: Большинство браузеров (Chrome, Firefox, Safari) теперь применяют SameSite=Lax как значение по умолчанию для cookies, где параметр не указан явно. Это изменение, начавшееся в 2020 году, означает, что старые приложения, рассчитывающие на отправку cookies в cross-site контекстах без указания SameSite, могут внезапно прекратить работу. Разработчик обязан адаптировать код.

Пример практического применения и проблем

Рассмотрим типичный фронтенд-кейс: Интеграция с Facebook SDK для кнопки "Like".

  • Без SameSite: Старый код мог просто устанавливать cookie. Но если браузер применяет Lax по умолчанию, cookie не будет отправлен в Facebook при кросс&сайтовом запросе из iframe, и интеграция сломается.
  • С SameSite: Фронтенд-разработчик (или backend, устанавливающий cookie) должен явно указать правильную политику.
// Правильная конфигурация cookie для кросс-сайтового использования
fetch('/api/set-cross-site-cookie', {
  method: 'POST',
  credentials: 'include' // Важно для отправки/получения cookies с SameSite=None
})

Итог и рекомендации

  • Для сессионных и авторизационных cookies используйте SameSite=Lax (или Strict для максимальной безопасности).
  • Для cookies, необходимых в кросс&сайтовых контекстах (iframe, API вызовы с другого домена), обязательно используйте SameSite=None в сочетании с Secure=true (HTTPS только).
  • Тестируйте поведение в разных браузерах, так как могут быть небольшие различия в реализации.
  • Следите за обновлениями стандартов (например, предложение SameSite=Extended для более гибкого контроля).
  • Как фронтенд разработчик, вы должны быть в курсе этих настроек, потому что они напрямую влияют на работу вашего приложения — от безопасности пользовательских данных до корректности взаимодействия с внешними сервисами и социальными плагинами.

Понимание и правильное применение параметра SameSite — это не просто вопрос безопасности, но и гарантия стабильной, кросс&браузерной функциональности вашего веб-приложения в современной экосистеме интернета.