サイトとは

CookieのSameSite属性などで出てくる「サイト」。

次の二つが「別のサイト」であるというのは直感的にわかるでしょう。

https://sample.com
https://sample1.com

問題なのが次のようにサブドメインを利用している場合。これは「同じサイト」となる。

https://sample.com
https://sub.sample.com

つまり、CookieのSameSite属性において、サブドメインを使って別ページになっているサイトへのアクセスは「同じサイト」とみなされる。

正確にいうと、サイトの定義はeTLD+1 (effective top-level domain + 1)でありこれが異なると別のサイト、となるのだが、
詳しい説明は下記「より詳しく知りたい方向けの記事」で紹介した記事をご覧ください。

オリジンとは

CORSの説明などで出てくる「オリジン」
オリジン = スキーマ + ホスト + ポート番号である。

サイトの例で挙げたサブドメインを利用している例をもう一度見てみる。(ポート番号はデフォルト443で省略されているものとする)

https://sample.com
https://sub.sample.com

上のURLのホストは「sample.com」で、下のURLのホストは「sub.sample.com」。
これは「別のオリジン」とみなされる。