SameSite クッキー属性は、ブラウザーがファーストパーティ クッキーとサードパーティ クッキーの処理方法を識別するために使用します。SameSite 属性の目的は、Web ユーザーのプライバシー権を保護し、クロスサイト リクエスト フォージェリ (CSRF/XSRF) のリスクを減らすことです。CSRF は、Web サイトの悪用の一種で、Web アプリケーションが信頼しているユーザーから不正なコマンドが送信されます。
Chrome 80 リリースでは、SameSite クッキー属性が既定でオンになりました。Microsoft Edge、Firefox、Safari など他のブラウザーも SameSite クッキーに対応していますが、機能が既定で常にオンになっているわけではありません。
SameSite 属性の値
SameSite には、異なるセキュリティ レベルの 3 つの値があります。
- Strict: ブラウザーは、ターゲット ドメインと同じドメイン/サイトから送信されているリクエストにのみクッキーを送信します。これによって CSRF 攻撃を阻止します。
- Lax 送信元サイトを制限しませんが、ターゲット ドメインがクッキー ドメインと同じであることを強制します。これによってクロスサイト クッキーを阻止します。
- なし: クッキーを意図的にサードパーティのコンテキストで送信することを明確に示します。
情報メモこのコンテキストにおけるサイトはドメインのサフィックスで、直前のドメインの一部です。Web サイト https://help.qlik.com の場合、qlik.com がサイトと見なされます。
Chrome 80 以降では、SameSite 値が宣言されていないクッキーの既定値は SameSite=Lax に設定されます。これは、値 None を明示的に設定してオプトアウトしない限り、クッキーはファーストパーティのコンテキストでのみ自動的に送信されるということを意味します。
セキュアな接続からのアクセスである場合にのみ、SameSite=None; Secure 設定のクッキーを外部アクセスに利用できます。