SameSiteasetuksia
SameSiteasetukset ovat evästeisiin liittyvä mekanismi, jolla ohjataan evästeiden lähettämistä kolmannen osapuolen verkkosivuille. Näin voidaan vähentää CSRF-hyökkäyksiä sekä parantaa käyttäjän yksityisyyttä ja hallita sitä, milloin evästeet ovat käytettävissä eri verkkosivukonteksteissa.
Arvot ovat Strict, Lax ja None. Strict-säätö lähettää evästeen vain samaan alkuperään kuuluvan sivuston kanssa; sitä
Selainten käytäntö ja yhteensopivuus on huomioitava. Uudemmat selaimet rajoittavat None-arvon käyttöä, jos Secure ei ole asetettu,
Miten SameSite-asetukset määritetään. Eväste voidaan asettaa palvelinpuolella Set-Cookie -päätteen yhteydessä, esimerkiksi:
Set-Cookie: sessionId=abc; Path=/; HttpOnly; SameSite=Strict
Set-Cookie: analyticsId=xyz; Path=/; Secure; SameSite=None
Parhaat käytännöt ovat muun muassa käyttämään HttpOnly- ja Secure-merkintöjä yhdessä SameSite-arvon kanssa, valitsemaan Siten Strict tai
---