まとめ 最近のブラウザは新しい Cookie 規格 RFC6265bis になってる Cookie の SameSite の判定は RFC6265bis Section 5.2 にある「Registrable Domain」の合致で判定される 「Registrable Domain」より前の部分は見てない A request is "same-site" if its target's URI's origin's registrable domain is an exact match for the request's client's "site for cookies", or if the request has no client. 例えば www.example.com から api.example.com を fetch → 「Registrable Domain」が合致す