- SameSite=None— plik cookie jest wysyłany we „wszystkich kontekstach” — mniej więcej tak, jak działały rzeczy przed wynalezieniem SameSite.
- SameSite=Strict—plik cookie jest wysyłany tylko w przypadku żądań pochodzących z tej samej domeny. Nawet wchodząc na witrynę z linku spoza witryny, plik cookie nie zostanie wyświetlony, chyba iż później odświeżysz stronę lub nawigujesz w obrębie witryny.
- SameSite=Lax—plik cookie jest wysyłany, jeżeli przejdziesz do witryny przez kliknięcie linku z innej domeny, ale nie, jeżeli prześlesz formularz. To jest na ogół to, co chcesz chronić przed atakami CSRF!
https://simonwillison.net/2021/Aug/3/samesite/
https://samesite-lax-demo.vercel.app/