📖
Segurança

SameSite

Flag de cookie que controla envio em requests cross-site. Principal defesa contra CSRF.

📚 O que é

Strict: nunca enviado em cross-site (quebra OAuth, links externos). Lax: enviado em navegação top-level (links), mas não em cross-site POST/fetch/img. None: sempre enviado (precisa Secure=true). Lax é o default moderno e sweet spot.

✅ Quando usar

Sempre em cookies de sessão/auth. Lax para 99% dos casos. Strict quando segurança máxima e sem fluxos OAuth.

🚫 Quando NÃO usar

None apenas em cookies de terceiros que precisam ser cross-site (ex: embed, widget).

👍 Prós
Previne CSRF efetivamente
Simples de configurar
Default Lax nos browsers modernos
👎 Contras
Strict pode quebrar OAuth e links externos
None exige Secure, expõe mais em HTTP
🔗 Termos relacionados
XSS
Segurança

Cross-Site Scripting. Injeção de JavaScript malicioso em página confiável.

CSRF
Segurança

Cross-Site Request Forgery. Site malicioso dispara ação em seu site usando cookies do usuário.

CORS
Segurança

Cross-Origin Resource Sharing. Browser bloqueia requests cross-origin por padrão. Servidor pode liberar via headers.

CSP
Segurança

Content Security Policy. Header HTTP que restringe o que pode executar na página.

HttpOnly
Segurança

Flag de cookie que impede acesso via JavaScript. Protege contra roubo de token por XSS.