✅ 同站(Same-Site)- Cookie 正常发送
主站: example.com
iframe: subdomain.example.com
结果: 都属于 example.com 站点,Cookie 可以发送
⚠️ 跨域但同站
说明: example.com 和 subdomain.example.com
- 跨域:域名不完全相同,受同源策略限制
- 同站:都是 example.com 站点,Cookie SameSite 策略允许
❌ 跨站(Cross-Site)- Cookie 被阻止
主站: example.com
iframe: google.com
结果: 不同站点,第三方 Cookie 被阻止
站点判断规则
eTLD+1 规则
站点 = 有效顶级域名(eTLD) + 1级域名
example.com→ 站点是example.comsubdomain.example.com→ 站点是example.comwww.example.co.uk→ 站点是example.co.uk
Cookie SameSite 设置
// 严格同站
Set-Cookie: name=value; SameSite=Strict
// 宽松同站(导航时允许)
Set-Cookie: name=value; SameSite=Lax
// 允许跨站(需要 Secure)
Set-Cookie: name=value; SameSite=None; Secure