SameSite Cookie与跨站请求治理

SameSite Cookie与跨站请求治理概览`SameSite` 控制 Cookie 在跨站上下文中的发送行为：`Lax`、`Strict`、`None`。`SameSite=None` 必须同时设置 `Secure`，仅在 HTTPS 下发送。正确选择属性降低 CSRF 风险，同时保持登录联邦与嵌入场景的可用性。技术参数（已验证）- 设置：`Set-Cookie: key=value; Path=/; HttpOnly; Secure; SameSite=LaxStrictNone`。语义：`Lax` 在顶级导航 GET 发送；`Strict` 不在任何跨站上下文发送；`None` 在所有上下文发送但需 `Secure`。兼容：旧浏览器对 `None` 误判为 `Strict`；需 UA 检测或兼容方案。CSRF：将会话 Cookie 设为 `Lax/Strict`，跨站仅使用专用令牌或 POST with double-submit 等方案。观测：记录跨站请求与 Cookie 行为差异；审计第三方嵌入与登录场景。实战清单为会话与敏感 Cookie 设置 `HttpOnly`、`Secure` 与合适的 `SameSite`。在需要跨站的联合登录或嵌入场景为专用 Cookie 设 `SameSite=None; Secure` 并最小权限。建立 CSRF 防护与审计；在前端与后端联动验证行为。Importance: 降低 CSRF 风险并兼顾跨站交互的可用性。