기본적으로 같은 사이트일 경우 쿠키 동작, 하지만 크로스 사이트일 경우는 브라우저 레벨에서 XSS를 막기 위해

보내지 않는다. SameSite 속성을 보고 해당 쿠키에 대한 동작을 결정해서 보내준다.

SameStie 속성

: 서로 다른 도메인간의 쿠키 전송에 대한 보안 설정

• None: 동일사이트, 크로스 사이트에 모두 쿠키 전송 가능

→ None으로 설정하는 경우에는 Secure 속성이 추가해야하고, Secure 속성이 추가되는 경우에는 HTTPS 프로토콜에서만 전송이 가능하게 된다.

HTTP로 전송하게 되면 경고메시지와 함께 쿠키가 적용되지 않는다.

• Lax: Http GET, a href, link href의 경우에는 전송해주도록 요청
• Strict: 모든 부분에서 같은 동일 사이트여야 허용

SameSite의 정의

top level domain과 second level domain의 combination동일하면 SameSite라고 말한다.

Client에서 쿠키 전송하기

요청 보낼때 withCredentials = true로 하여 요청을 보내주어야 한다.

{
  withCredentials: true
}

서버에서 SameSite 설정하기