Куки и SameSite

Куки могут иметь атрибуты Secure (отправка только по HTTPS), HttpOnly (запрет доступа из JavaScript) и SameSite. Атрибут SameSite контролирует отправку кук в межсайтовых запросах: Lax (отправка с безопасными методами и при переходе по ссылке), Strict (только в рамках одного сайта), None (всегда, но требует Secure). Это ключевой механизм защиты от CSRF-атак.