Ce este SameSite (atribut cookie)?
Atributul care controleaza daca un cookie este trimis in cereri cross-site
Definiție SameSite (atribut cookie)
SameSite este un atribut al cookie-urilor care controleaza cand sunt trimise: Strict (doar pe acelasi site), Lax (si la navigare directa de pe alt site) sau None (trimis intotdeauna, necesita Secure). Previne atacurile CSRF (Cross-Site Request Forgery). Browserele moderne seteaza implicit Lax daca nu e specificat.
De ce contează SameSite (atribut cookie)
Atributul SameSite controleaza daca un cookie este trimis in cererile cross-site, fiind principala aparare impotriva atacurilor CSRF (Cross-Site Request Forgery) fara a necesita token-uri aditionale. Din 2020, Chrome trateaza cookie-urile fara SameSite explicit ca SameSite=Lax, ceea ce a spart functionalitatea multor integrari third-party nepregratite. Firefox si Safari au adoptat acelasi comportament implicit.
Cum verifici SameSite (atribut cookie)
SoftAudit inspecteza atributul SameSite al fiecarui cookie setat de site si semnaleaza cookie-urile fara acest atribut, cele cu SameSite=None dar fara flag-ul Secure (combinatie invalida) si cele cu valori non-standard. Raportul clasifica riscul in functie de scopul cookie-ului.
Verifică conformitatea GDPR →Greșeli frecvente
Setarea SameSite=None pe toate cookie-urile pentru a "rezolva rapid" problemele de functionare expune site-ul la atacuri CSRF si nu mai ofera nicio protectie. Alta greseala este setarea SameSite=Strict pe cookie-urile de sesiune — utilizatorii care vin de pe un link extern (email, social media) vor parea delogati pentru ca cookie-ul nu se trimite la navigarea cross-site.
Bune practici
Foloseste SameSite=Lax ca default pentru cookie-urile de sesiune si autentificare — permite navigarea normala de pe link-uri externe dar blocheaza POST-urile cross-site. Rezerva SameSite=None exclusiv pentru integrari third-party legitime (widget-uri embed, SSO) si asigura-te ca acestea au obligatoriu Secure flag.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica samesite (atribut cookie) pe site-ul tău.
Verificare GDPR — GratuitÎntrebări frecvente
Ce este SameSite (atribut cookie)?
SameSite este un atribut al cookie-urilor care controleaza cand sunt trimise: Strict (doar pe acelasi site), Lax (si la navigare directa de pe alt site) sau None (trimis intotdeauna, necesita Secure). Previne atacurile CSRF (Cross-Site Request Forgery). Browserele moderne seteaza implicit Lax daca nu e specificat.
De ce este important SameSite (atribut cookie) pentru un website?
Atributul SameSite controleaza daca un cookie este trimis in cererile cross-site, fiind principala aparare impotriva atacurilor CSRF (Cross-Site Request Forgery) fara a necesita token-uri aditionale. Din 2020, Chrome trateaza cookie-urile fara SameSite explicit ca SameSite=Lax, ceea ce a spart functionalitatea multor integrari third-party nepregratite. Firefox si Safari au adoptat acelasi comportament implicit.
Termeni asociați
Mici fisiere de date stocate de site-uri web pe dispozitivul utilizatorului
Atributul care impiedica accesul JavaScript la un cookie
Atributul care forteaza transmiterea cookie-ului doar prin HTTPS
Prefixe speciale pentru cookie-uri care impun cerinte stricte de securitate