HTTP 请求标头属性路径、域与 SameSite

Question

如果在 http 响应标头中为站点设置了“set-cookie”属性“path”和“domain”，例如将 a.com 设置为 path=/, domain=a.com

路径和域状态的作用- path：请求资源中必须存在的url路径 域：限制将 cookie 发送到的主机

不是设置“SameSite”属性的作用是什么？因为它的用例状态cookie不与跨站点请求一起发送。因为 cookie 范围已经被路径和域属性限制在同一个域中。

将 SameSite：Lax 覆盖路径/域施加的限制

Answer 1

设置“SameSite”属性的作用是什么？

这里有两个概念：请求的资源和请求的来源。比如你正在访问a.com，向b.com发送一个HTTP请求（通过ajax或者图片加载或者超链接等方式），在这个场景中，请求的资源是b.com中的数据，而请求的来源是a.com

domain 和 path 用于限制 cookie 可以应用于哪个请求的资源，而SameSite 用于限制该请求的来源。

例如，如果domain 是c.com，则无论该请求是否来自b.com 网站，它都不会应用于发送到b.com 的请求。同时，如果SameSite是Strict，只要你不在b.com网站，对b.com的HTTP请求不会带那个cookie，即使那个“SameSite-Strict”cookie的domain是b.com 和 path 是 /。

SameSite: Lax 会覆盖路径/域施加的限制吗？

没有。 SameSite 和 domain/path 是两个不同的东西。