Chrome 和 Firefox 中的 SameSite=Strict cookie 保护是否被破坏?

Is SameSite=Strict cookie protection broken in Chrome & Firefox?

似乎 CSRF 保护属性 "SameSite=Strict" 并未在所有情况下提供所需的保护。

场景 1(有效):

场景 2(损坏):

我在 Chrome/78.0.3904.108 和 Firefox/70.0 中对此进行了测试。 由于我添加了 "SameSite=Strict" 标志,CSRF 保护在场景 1 中工作正常,但在场景 2 中存在描述的问题。

"SameSite" cookie 规范(或浏览器开发人员)是否可能遗漏了场景 2?
我希望使用 "SameSite" 标志不再需要特殊的 CSRF 保护措施。

恕我直言,"SameSite" 标志不仅应防止发送现有 cookie,还应防止存储新 cookie。

这是预期的行为。所有顶级请求都可以设置 SameSite cookie。这反映在最新版本的规范中:https://github.com/httpwg/http-extensions/pull/800

引用自SameSite cookies explained

the cookie will only be sent if the site for the cookie matches the site currently shown in the browser's URL bar.

这意味着 SameSite=StrictSameSite=Lax 将作为保护机制 仅用于第一步跨站点通信,即当用户第一次单击 link 从一个站点到另一个站点时。以下导航将使用 cookie,因为 URL 来源相同。