SameSiteのサイトってCORSのオリジンと違うの。。?と思った方向け。
別で詳しく説明されている記事もあるので、
ここでは超ざっくりと理解することを目的にする。
サイトとは
CookieのSameSite属性などで出てくる「サイト」。
次の二つが「別のサイト」であるというのは直感的にわかるでしょう。
https://sample.com
https://sample1.com
問題なのが次のようにサブドメインを利用している場合。これは「同じサイト」となる。
https://sample.com
https://sub.sample.com
つまり、CookieのSameSite属性において、サブドメインを使って別ページになっているサイトへのアクセスは「同じサイト」とみなされる。
正確にいうと、サイトの定義はeTLD+1 (effective top-level domain + 1)
でありこれが異なると別のサイト、となるのだが、
詳しい説明は下記「より詳しく知りたい方向けの記事」で紹介した記事をご覧ください。
オリジンとは
CORSの説明などで出てくる「オリジン」
オリジン = スキーマ + ホスト + ポート番号
である。
サイトの例で挙げたサブドメインを利用している例をもう一度見てみる。(ポート番号はデフォルト443で省略されているものとする)
https://sample.com
https://sub.sample.com
上のURLのホストは「sample.com」で、下のURLのホストは「sub.sample.com」。
これは「別のオリジン」とみなされる。
より詳しく知りたい方向けの記事