아래와 같은 서로 다른 도메인의 URL이 있다고 하자.
- https://aaa.com/from
- https://bbb.com/to
aaa.com/from에서 bbb.com/to으로 이동하는 Redirect가 발생하는 경우 bbb.com이 가진 쿠키중 SameSite=Strict인 쿠키는 전달되지 않는다.
이는 HTTP 응답 헤더에 의한 Redirect 뿐만 아니라 Javascript의 window.location.href에 의한 이동 시에도 마찬가지다.
이와 같은 특성으로 인해 다음과 같은 문제를 겪을 수 있다.
Bitly와 같은 줄임 URL에서 넘어온 경우 다른 도메인에서 넘어왔기 때문에 SameSite=Strict 쿠키가 전달되지 않아 만약 로그인 쿠키 등에 SameSite=Strict을 썼다면 로그인이 되지 않은 상태가 된다.
이러한 이유로 SameSite=Strict을 쓰고 싶지만 SameSite=Lax로 타협을 봐야할 것 같다.