こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じました。 セキュリティエンジニアのみならず、開発者の方にも参考になるかと思いましたので、自分の勘違いを紹介していきたいと思います。 なお本記事では「サイト」という単語を Cookie における Same-Site の定義に沿って扱います。 Understanding “same-site” and “same-origin” 使用したWebブラウザ: Chrome(burp 同梱のChromium) 106.0.5249.62
![CookieのSameSite属性と4つの勘違い(2022-10版) - セキュアスカイプラス](https://cdn-ak-scissors.b.st-hatena.com/image/square/f621f9d30763ecb7f7bfffccd2a93d25cdd19abc/height=288;version=1;width=512/https%3A%2F%2Fsecuresky-plus.com%2Fwp-content%2Fuploads%2F2024%2F03%2F20221024150239-300x139.png)