Атрибут SameSite ограничивает отправку cookie в кросс-сайтовых запросах — защита от CSRF, но ломает старые iframe и «оплата в окне банка».
Lax — разумный дефолт для сессий; Strict — для админок; None; Secure — только когда нужен third-party контекст.
- [SameSite cookies — web.dev](https://web.dev/articles/samesite-cookies-explained) — Объяснение Lax/Strict/None.
- [Set-Cookie — MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie) — Атрибут SameSite.
---
## E-commerce
Платёжные редиректы проверяйте в Safari и мобильном Chrome — возврат с банка должен восстанавливать корзину.
Для embed-виджетов отзывов и чатов заранее согласуйте None; Secure с вендором.