Configuração de cookie 'samesite'

O que é o SameSite?

SameSite é uma propriedade que pode ser definida em cookies HTTP para evitar ataques de CSRF (falsificação de solicitação entre sites) em aplicativos web:

• Quando SameSite é definido como Lax, o cookie é enviado em solicitações no mesmo site e em solicitações GET de outros sites. Ele não é enviado em solicitações GET entre domínios.
• Um valor Strict garante que o cookie seja enviado em solicitações somente dentro do mesmo site.

Por padrão, o valor SameSite não é definido em navegadores e é por isso que não há restrições ao envio de cookies em solicitações. Um aplicativo precisaria aceitar a proteção CSRF definindo Lax ou Strict de acordo com os próprios requisitos.

Referências:

• https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

Configuração

Para fazer a configuração e restringir a origem é necessário editar o arquivo 'context.xml' (caminho padrão /var/lib/tomcat9/conf/context.xml) e incluir o seguinte trecho abaixo dentro da tag "Context":

<Context>
...
    <CookieProcessor className="org.apache.tomcat.util.http.LegacyCookieProcessor" sameSiteCookies="strict" />
...
</Context>