HTTP cookie可以使用SameSite属性来限制跨站点请求伪造(CSRF)。我能找到的最好的文档是上面链接的Mozilla页面,但是并不是在每种情况下都完全清楚。具体来说,这意味着Lax仅与Strict请求中的GET不同,而没有其他任何方法。
SameSite=Lax仅与Strict请求中的GET不同,但是对于其他方法,它等同于SameSite=Strict?<a>和<form method='GET'>以及<link rel='prerender'>的第三方链接。这是否意味着第三方站点可以通过指示浏览器预加载易受攻击的页面来使用SameSite=Lax Cookie来启动CSRF?我要专门进行的操作是允许cookie包含在对GET请求的响应中,该请求源自第三方网站的重定向。