Esta tradução está incompleta. Ajude a traduzir este artigo em inglês
O atributo SameSite do Set-Cookie . O cabeçalho de resposta HTTP permite que você declare se o seu cookie deve ser restrito a um contexto de primeira ou mesma parte.
Valores
The SameSite aceita três valores:
Lax
Os cookies podem ser enviados com navegação de alto nível e serão enviados juntamente com a solicitação GET iniciada pelo site de terceiros. Este é o valor padrão nos navegadores modernos.
Strict
Os cookies serão enviados apenas em um contexto de primeira parte e não serão enviados juntamente com solicitações iniciadas por sites de terceiros.
None
Cookies serão enviados em todos os contextos, ou seja, é permitido enviar origem cruzada.
None costumava ser o valor padrão, mas as versões recentes do navegador fizeram Lax o valor padrão para ter uma defesa razoavelmente robusta contra algumas classes de falsificação de solicitações entre sites (CSRF).
None requer o atributo Secure nas versões mais recentes do navegador. Veja abaixo para mais informações.
Fixação de avisos comuns
SameSite=None requer Secure
O aviso a seguir pode aparecer no seu console:
Alguns cookies estão usando mal o atributo "sameSite", então não funcionará como esperado.
Cookie "myCookie" rejeitado porque tem o atributo "sameSite=none", mas está perdendo o atributo "seguro".
O aviso aparece porque qualquer cookie que solicitar SameSite=None mas não está marcado Secure será rejeitado.
Set-Cookie: flavor=choco; SameSite=None
Para corrigir isso, você terá que adicionar o atributo Secure aos seus cookies SameSite=None.
Set-Cookie: flavor=choco; SameSite=None; Secure
Um cookie Secure só é enviado ao servidor com uma solicitação criptografada sobre o protocolo HTTPS. Observe que sites inseguros (http:) não pode definir cookies com a diretiva Secure.
Cookies sem padrão SameSite para SameSite=Lax
Versões recentes de navegadores modernos fornecem um padrão mais seguro para SameSite para seus cookies e assim a seguinte mensagem pode aparecer no seu console:
Alguns cookies estão usando mal o atributo "sameSite", então não funcionará como esperado.
Cookie "myCookie" tem a política "sameSite" definida como "frouxa" porque está faltando um atributo "sameSite" e "sameSite=lax" é o valor padrão para este atributo.
O aviso aparece porque a política SameSite para um cookie não especificou explicitamente:
Set-Cookie: flavor=choco
Embora você possa confiar em navegadores modernos para aplicar SameSite=Lax automaticamente, você deve sim especificá-lo explicitamente para comunicar claramente sua intenção que SameSite política se aplica ao seu cookie. Isso também melhorará a experiência entre os navegadores, pois nem todos eles são padrão para Lax ainda.
Set-Cookie: flavor=choco; SameSite=Lax
Examplo:
RewriteEngine on
RewriteBase "/"
RewriteCond "%{HTTP_HOST}" "^example\.org$" [NC]
RewriteRule "^(.*)" "https://www.example.org/index.html" [R=301,L,QSA]
RewriteRule "^(.*)\.ht$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:01:https://www.example.org:30/:SameSite=None:Secure]
RewriteRule "^(.*)\.htm$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:02:https://www.example.org:30/:SameSite=None:Secure]
RewriteRule "^(.*)\.html$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:03:https://www.example.org:30/:SameSite=None:Secure]
[...]
RewriteRule "^admin/(.*)\.html$" "admin/index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:09:https://www.example.org:30/:SameSite=Strict:Secure]
Especificações
| Specification | Title |
|---|---|
| RFC 6265, sessão 4.1: Set-Cookie | Mecanismo de gestão do estado HTTP |
| draft-ietf-httpbis-rfc6265bis-05 | Cookie Prefixes, Same-Site Cookies, e Strict Secure Cookies |
Browser compatibility
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
| Desktop | Mobile | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
Set-Cookie | Chrome Full support Yes | Edge Full support 12 | Firefox Full support Yes | IE Full support Yes | Opera Full support Yes | Safari Full support Yes | WebView Android Full support Yes | Chrome Android Full support Yes | Firefox Android Full support Yes | Opera Android Full support Yes | Safari iOS Full support Yes | Samsung Internet Android Full support Yes |
HttpOnly | Chrome Full support 1 | Edge Full support 12 | Firefox Full support 3 | IE Full support 9 | Opera Full support 11 | Safari Full support 5 | WebView Android Full support 37 | Chrome Android Full support Yes | Firefox Android Full support 4 | Opera Android Full support Yes | Safari iOS Full support 4 | Samsung Internet Android Full support Yes |
Max-Age | Chrome Full support Yes | Edge Full support 12 | Firefox Full support Yes | IE Full support 8 | Opera Full support Yes | Safari Full support Yes | WebView Android Full support Yes | Chrome Android Full support Yes | Firefox Android Full support Yes | Opera Android Full support Yes | Safari iOS Full support Yes | Samsung Internet Android Full support Yes |
SameSite | Chrome Full support 51 | Edge Full support 16 | Firefox Full support 60 | IE No support No | Opera Full support 39 | Safari
Full support
13
| WebView Android Full support 51 | Chrome Android Full support 51 | Firefox Android Full support 60 | Opera Android Full support 41 | Safari iOS
Full support
13
| Samsung Internet Android Full support 5.0 |
SameSite: SameSite=Lax | Chrome Full support 51 | Edge Full support 16 | Firefox Full support 60 | IE No support No | Opera Full support 39 | Safari Full support 12 | WebView Android Full support 51 | Chrome Android Full support 51 | Firefox Android Full support 60 | Opera Android Full support 41 | Safari iOS Full support 12.2 | Samsung Internet Android Full support 5.0 |
SameSite: Defaults to Lax | Chrome Full support 80 | Edge Full support 80 | Firefox
Full support
69
| IE No support No | Opera Full support 67 | Safari No support No | WebView Android Full support 80 | Chrome Android Full support 80 | Firefox Android No support No | Opera Android No support No | Safari iOS No support No | Samsung Internet Android No support No |
SameSite: SameSite=None | Chrome Full support 51 | Edge Full support 16 | Firefox Full support 60 | IE No support No | Opera Full support 39 | Safari
Full support
13
| WebView Android Full support 51 | Chrome Android Full support 51 | Firefox Android Full support 60 | Opera Android Full support 41 | Safari iOS Full support 13 | Samsung Internet Android Full support 5.0 |
SameSite: SameSite=Strict | Chrome Full support 51 | Edge Full support 16 | Firefox Full support 60 | IE No support No | Opera Full support 39 | Safari Full support 12 | WebView Android Full support 51 | Chrome Android Full support 51 | Firefox Android Full support 60 | Opera Android Full support 41 | Safari iOS Full support 12.2 | Samsung Internet Android Full support 5.0 |
SameSite: Secure context required | Chrome Full support 80 | Edge Full support 80 | Firefox
Full support
69
| IE No support No | Opera Full support 67 | Safari No support No | WebView Android Full support 80 | Chrome Android Full support 80 | Firefox Android No support No | Opera Android No support No | Safari iOS No support No | Samsung Internet Android No support No |
| Cookie prefixes | Chrome Full support 49 | Edge Full support 79 | Firefox Full support 50 | IE No support No | Opera Full support 36 | Safari Full support Yes | WebView Android Full support 49 | Chrome Android Full support 49 | Firefox Android Full support 50 | Opera Android Full support 36 | Safari iOS Full support Yes | Samsung Internet Android Full support 5.0 |
Legend
- Full support
- Full support
- No support
- No support
- See implementation notes.
- See implementation notes.
- User must explicitly enable this feature.
- User must explicitly enable this feature.