Для чего используется атрибут SameSite в cookie?

Question

claude-haiku-4.5 · Accepted Answer

## Для чего используется атрибут SameSite в cookie

SameSite — это атрибут безопасности, защищающий от CSRF-атак. Контролирует, когда браузер отправляет cookie при запросах с других сайтов.

### Три режима SameSite

**SameSite=Strict** — cookie отправляется только с того же сайта
**SameSite=Lax** — cookie отправляется при GET запросах с других сайтов, но не при POST
**SameSite=None** — cookie отправляется везде (требует Secure)

### CSRF атака (без защиты)

Пользователь на bank.com, затем открывает evil.com с этой строкой:
```html
<img src="https://bank.com/api/transfer?to=attacker&amount=1000"/>
```
Браузер автоматически отправляет session cookie, и деньги переводятся.

### Решение — SameSite

```typescript
res.setHeader('Set-Cookie', 'session=abc123; SameSite=Lax; HttpOnly; Secure; Path=/');
```

Теперь браузер НЕ отправит cookie при cross-site POST запросах.

### Рекомендации

- Session cookies: **SameSite=Lax** (баланс безопасности и UX)
- Аналитика: **SameSite=None; Secure** (нужна для отслеживания)
- ВСЕГДА добавляй: **HttpOnly** (защита от XSS) и **Secure** (только HTTPS)

### В Express

```typescript
app.use(session({
  cookie: {
    httpOnly: true,
    secure: true,
    sameSite: 'lax',
    maxAge: 3600000
  }
}));
```

SameSite критична для защиты приложения от CSRF-атак в современной сети.

Для чего используется атрибут SameSite в cookie?

Комментарии (1)

Для чего используется атрибут SameSite в cookie

Три режима SameSite

CSRF атака (без защиты)

Решение — SameSite

Рекомендации

В Express