Cookie SameSite
¿Qué es Cookie SameSite?
Cookie SameSiteAtributo de cookie que controla si el navegador la envía en solicitudes entre sitios, con valores Strict, Lax y None, usado sobre todo para mitigar CSRF.
El atributo «SameSite» en una cabecera «Set-Cookie» indica al navegador cuándo puede enviarse la cookie en solicitudes originadas en otro sitio. «Strict» la retiene en toda navegación o subpetición cruzada, «Lax» (ya predeterminado en la mayoría de navegadores) la envía sólo en navegaciones de nivel superior con GET, y «None» la permite en todos los contextos pero exige «Secure». Configurar las cookies como «Lax» o «Strict» es una de las mitigaciones más eficaces contra CSRF y reduce el rastreo entre sitios. Las cookies de autenticación o sesión deberían usar «Lax» (o «Strict» en flujos sensibles), junto con los flags «HttpOnly» y «Secure» y tokens CSRF explícitos para peticiones que cambien estado.
● Ejemplos
- 01
«Set-Cookie: session=abc; Secure; HttpOnly; SameSite=Lax; Path=/».
- 02
Un iframe de pago embebido requiere «SameSite=None; Secure» para que la cookie se envíe en contexto cruzado.
● Preguntas frecuentes
¿Qué es Cookie SameSite?
Atributo de cookie que controla si el navegador la envía en solicitudes entre sitios, con valores Strict, Lax y None, usado sobre todo para mitigar CSRF. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Cookie SameSite?
Atributo de cookie que controla si el navegador la envía en solicitudes entre sitios, con valores Strict, Lax y None, usado sobre todo para mitigar CSRF.
¿Cómo defenderse de Cookie SameSite?
Las defensas contra Cookie SameSite combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Cookie SameSite?
Nombres alternativos comunes: Atributo SameSite.