Samesite Cookie 是一种JavaScript技术，因此需要在启用JavaScript的浏览器才可以使用该技术； “双重Cookie” 和 “Samesite Cookie” 都需要在HTTPS应用协议下使用； Samesite Cookie 是 HTTP 响应头 Set-Cookie 的属性之一，用于声明该Cookie是否仅限于第一方(首次发起请求的客户端)或者同一网站的后端上下文(后端设置该Cookie的失效时间，在这个失效时间内任意客户端进行通信使用该Cookie是合法的)。 Samesite 支持三种参数形式，因为该参数是一个配置项，事实上是对 “Cookie/Set-Cookie” 中的Cookie信息的使用进行规范，这种规范是对浏览器的功能进行规范的： - “Lax” ： Cookies允许和顶级导航一起发送，这种方式就是跨域请求，即支持第三方搜索引擎的GET请求，支支持三种情况：链接、预加载请求、GET表单； - “Strict”： Cookies只会在第一方的上下文发送，不会与第三方的网站发起的请求一起发送，只有当前网页的URL 与 请求目标一致才会带上Cookie； 举一个例子，在一个网站上假设有两条外链，第一条外链是QQ的链接，允许携带Cookie(Samesite=Lax)，一条 Github 不允许携带Cookie(Samesite=Strict)；则在这个网站单击链接进行跳转之后，如果你之前已经同时登录了QQ和Github，Github网站会要求你重新输入信息登录； - “None”： 不对 Cookies 进行任何限制 - 非常地不安全，无法防范CSRF攻击； Samesite Cookie 和 双重Cookie 两者技术的区别： - 根本区别： + Samesite Cookie 技术限制的是使用Cookie的范围，即其作用是：可以阻止第三方滥用Cookie，即上述所述对URL发送请求能否携带Cookie； + 双重Cookie 的技术是：用户访问页面（拥有特定的域名），注入一个Cookie，该Cookie不是由后端决定的，是由前端随机生成的，提交给后端进行存储；当前端重新进行请求时，重新发送Cookie通过URL参数，后端进行验证是否与第一次访问相同，相同允许，不相同拒绝； - Samesite 缺点： - 如果一个网站有多个子域，那么主域的Cookie无法被携带到子域； - Lax 下还有存在CSRF攻击的可能性的，如果设置为 Strict，那么用户体验不好； - 双重 Cookie 缺点： - 占用 Cookie的额外空间，URL额外空间； - XSS 如果获取到客户端的Cookie那么就会失效； - 无法做到子域隔离