Cookie SameSite
O que é Cookie SameSite?
Cookie SameSiteAtributo de cookie que controla se o navegador o envia em requisições entre sites, com valores Strict, Lax e None, usado sobretudo para mitigar CSRF.
O atributo 'SameSite' em um 'Set-Cookie' diz ao navegador quando o cookie pode ser enviado em requisições originadas de outro site. 'Strict' o retém em qualquer navegação ou sub-requisição cross-site, 'Lax' (hoje padrão na maioria dos navegadores) o envia apenas em navegações top-level GET, e 'None' permite em qualquer contexto mas exige 'Secure'. Definir os cookies como 'Lax' ou 'Strict' é uma das mitigações mais eficazes contra CSRF e reduz a superfície de rastreamento. Cookies de autenticação e sessão devem geralmente ser 'Lax' (ou 'Strict' para fluxos sensíveis), combinados com 'HttpOnly' e 'Secure' e com tokens CSRF explícitos para requisições que mudam estado.
● Exemplos
- 01
'Set-Cookie: session=abc; Secure; HttpOnly; SameSite=Lax; Path=/'.
- 02
Iframe de pagamento embutido requer 'SameSite=None; Secure' para que o cookie seja enviado em contexto cross-site.
● Perguntas frequentes
O que é Cookie SameSite?
Atributo de cookie que controla se o navegador o envia em requisições entre sites, com valores Strict, Lax e None, usado sobretudo para mitigar CSRF. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Cookie SameSite?
Atributo de cookie que controla se o navegador o envia em requisições entre sites, com valores Strict, Lax e None, usado sobretudo para mitigar CSRF.
Como se defender contra Cookie SameSite?
As defesas contra Cookie SameSite costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Cookie SameSite?
Nomes alternativos comuns: Atributo SameSite.