"Cookie SameSite 策略：Lax/Strict/None 的行为与兼容"

概述`SameSite` 限制跨站请求是否携带 Cookie：`Lax` 在顶级导航 GET 时携带、`Strict` 仅同站携带、`None` 在任何跨站情况下均携带但必须与 `Secure` 联用。现代浏览器默认更趋向 `Lax` 以提升安全。示例与用法# 默认会被视为 Lax（不推荐省略），建议显式设置 Set-Cookie: session=abc; Path=/; SameSite=Lax; Secure # 跨站嵌入或第三方场景需要 None + Secure Set-Cookie: embed=xyz; Path=/; SameSite=None; Secure # 更严格隔离 Set-Cookie: sensitive=...; Path=/; SameSite=Strict; Secure 工程建议分类管理：对登录态与敏感写操作使用 `Lax/Strict`；第三方嵌入确需状态时采用 `None; Secure` 并评估风险。迁移与兼容：识别旧浏览器行为差异；在必要时通过回退机制（URL 参数/POST 带状态）维持功能。联合策略：与 CHIPS 分区 Cookie、CORS/Fetch Metadata 等策略协同治理跨站风险。参考与验证MDN SameSite 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie#samesite_attributeweb.dev SameSite 指南：https://web.dev/articles/samesite-cookies-explainedRFC 6265bis（草案）：https://httpwg.org/http-extensions/draft-ietf-httpbis-rfc6265bis.html