Mi az a „SameSite” attribútum?

A süti egy kis méretű fájl, amibe a weboldal helyez el egy kulcs-érték párost adott lejárati idővel.

Így tesz például a gyakorikerdesek.hu is annak ellenőrizhetőségére, hogy be vagy-e jelentkezve.

Viszont vannak olyan sütik, amiket a weboldalba beépülő más weboldalak - legyenek azok reklámok, webanalitikák, hasznos és haszontalan kiegészítők helyeznek el. Ezek az úgynevezett 3. féltől származó sütik veszélyesek is lehetnek, mert több weboldalba ágyazva alkalmasak a felhasználó nyomkövetésére (a Google és a Facebook ezt a lehetőséget használja ki) - ezt nevezik nyomkövető sütiknek, tracking cookies-nak - vagy egy adott weboldalnak kiadva magát egy másik oldalról "ellopható" az adott oldalon létrehozott süti - ez a CSRF-sebezhetőség.

Ezért alkották meg a sütik létrehozásánál a SameSite attribútumot, aminek 3 lehetséges értéke lehet:

* None: Ez esetben a létrehozott süti minden esetben, bármilyen oldalról olvasható marad

* Lax (ez az alapbeállítás, ha nem lenne deklarálva a SameSite attribútum): Ez esetben a létrehozott süti csak akkor olvasható másik oldalról, ha arra a felhasználó átnavigál (például rákattint egy másik oldalra mutató linkre), passzívan (például egy másik oldalról származó kép vagy keret beillesztésével) nem.

* Strict: ennél a legszigorúbb beállításnál egy adott oldalon létrehozott süti nem érhető el másik oldalról