概要 Originはスキーム+ホスト(+ポート) Siteは登録可能なドメイン(registrable domain) サブドメインが信頼できない場合、SameSite cookiesはCSRF対策として不十分 ざっくりと 例えば、http://example.com/app/index.htmlというURLがあったとします。 乱暴に言ってしまうなら、この中でOriginとSiteは以下のようになります。 ここで大切なのはOriginはSiteを包含する概念であるということです。 OriginはURLのスキーム+ホストにより表される概念です。 つまり、URLの最初の/より左側と言って良いでしょう。 最近のブラウザだと下の画像のように、Origin部がハイライトされます。 厳密に言うとOriginの概念はポート番号を含みますが、通常はスキームによりポートも自動で決まるため無視されます。 理解