SameSite cookies: Lax, Strict и сторонние платежи
Почему пропала «сквозная» авторизация с другого сайта и как настроить OAuth без поломки checkout.
Атрибут `SameSite` ограничивает отправку cookie в кросс-сайтовых запросах — защита от CSRF, но ломает старые iframe и «оплата в окне банка».
`Lax` — разумный дефолт для сессий; `Strict` — для админок; `None; Secure` — только когда нужен third-party контекст.
- SameSite cookies — web.dev — Объяснение Lax/Strict/None.
- Set-Cookie — MDN — Атрибут SameSite.
E-commerce
Платёжные редиректы проверяйте в Safari и мобильном Chrome — возврат с банка должен восстанавливать корзину.
Для embed-виджетов отзывов и чатов заранее согласуйте `None; Secure` с вендором.