SameSite는 쿠키 자동 전송을 줄이지만 CSRF 방어를 완성하지는 않는다

브라우저가 쿠키를 자동으로 붙여 보내는 성질 때문에, 서버는 요청의 의도와 출처를 별도로 확인해야 한다.

공격 페이지사용자 브라우저로 피해 사이트에 요청을 만들 수 있다.
브라우저 판단SameSite 조건에 따라 쿠키 전송 여부를 결정한다.
서버 검증Origin, Referer, CSRF token, 메서드 안전성을 확인한다.
상태 변경검증된 요청만 장바구니, 송금, 설정 변경을 수행한다.
SameSite=Lax많은 크로스사이트 POST를 줄이지만 모든 우회를 막지는 않는다.
CSRF token사용자 의도를 서버가 확인할 수 있는 별도 값을 둔다.
Origin 검증중요한 상태 변경 요청은 출처를 함께 확인한다.