Cookieを付与するかどうかをreqの発行元を見て判断する

CSRFを防止する

3つの値のいずれかを指定する

top-level navigationを含む全てのrequestに対して、

そのrequestの発行元と、宛先がSame Originである場合にのみCookieを付与する

例えば、AとBのサイトがあり

Aに Strict を指定しており、

Aにログインしている状態で、

Bの中にAへのリンクがある時、

そのリンクを踏んでAに遷移してもlogin状態にはならない

defaultはコレ

GETに対しては None と同じ

それ以外は Strict と同じ

どこからrequestが投げられたか問わずCookieを付与する

これを指定すると、自動でSet-Cookie: Secureも指定されるようになっているらしい ref

参考

CSRFは防止できるけど、XSSは防止できないよね？