SameSite cookies: Lax, Strict и сторонние платежи

Атрибут SameSite ограничивает отправку cookie в кросс-сайтовых запросах — защита от CSRF, но ломает старые iframe и «оплата в окне банка».

Lax — разумный дефолт для сессий; Strict — для админок; None; Secure — только когда нужен third-party контекст.

- [SameSite cookies — web.dev](https://web.dev/articles/samesite-cookies-explained) — Объяснение Lax/Strict/None.

- [Set-Cookie — MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie) — Атрибут SameSite.

---

## E-commerce

Платёжные редиректы проверяйте в Safari и мобильном Chrome — возврат с банка должен восстанавливать корзину.

Для embed-виджетов отзывов и чатов заранее согласуйте None; Secure с вендором.