При установке значения Lax подразумевается, что куки должны отправляться при серфинге по одному сайту или через GET серфинг на ваш сайт с других сайтов. Значение Strict ограничивало cookie запросами, исходящими только от одного сайта. Отсутствие установки какого-либо свойства не накладывает никаких ограничений на то, как cookie может работать в запросах. Операции аутентификации OpenIdConnect (например, вход в систему, выход из системы) и другие функции, которые отправляют POST-запросы с внешнего сайта на сайт, запрашивающий операцию, могут использовать файлы cookie для корреляции и/или защиты CSRF. Эти операции должны были бы отказаться от SameSite, не устанавливая свойство вообще, чтобы гарантировать, что эти куки будут отправлены во время их специализированных потоков запросов (specialized request flows).
Сейчас Google обновляет стандарт и внедряет предложенные изменения в будущую версию Chrome. Изменение добавляет новое значение SameSite «None» и изменяет поведение по умолчанию на «Lax». Это ломает OpenIdConnect logins и, возможно, другие функции, на которые может опираться ваш веб-сайт. Эти функции должны будут использовать файлы cookie, для свойства SameSite которых установлено значение «None».
Однако браузеры, которые придерживаются первоначального стандарта и не знают о новом значении, ведут себя иначе, чем браузеры, которые используют новый стандарт. Это означает, что ваш веб-сайт .NET теперь должен будет добавить сниффинг пользовательского агента (user agent sniffing), чтобы решить, отправлять ли вы новое значение None или не отправлять атрибут вообще.
![](https://habrastorage.org/webt/k2/2l/7q/k22l7q1la86bjehti0k8zzmdmru.jpeg)