API / Option
sameSite
Cookie の送信範囲をクロスサイトリクエスト時に制御するオプション。CSRF 対策の基本設定。
cookiecsrfsecurityhttp
所属:Cookie / Set-Cookie
代表的な値 / 使い方
StrictLaxNone
注意点 / Pitfalls
- ·None を指定する場合は必ず Secure も同時に付与が必要(HTTP では機能しない)
- ·Strict にすると外部サイトからのリンクでもセッションが切れるため UX に影響が出る
- ·Lax はデフォルト相当だが、ブラウザにより挙動差がある
一緒に使う項目
補足
Next.js の cookies() / レスポンスヘッダーで設定する場合も同じ値を使う。開発環境 (HTTP) では None + Secure の組み合わせが使えない点に注意。
関連ドキュメント
関連サンプル
同じテーマや技術スタックを使った実装例
Next.js で認証状態に応じてページを redirect する
Server Component や Route Handler でセッションの有無を確認し、認証済みユーザーをダッシュボードへ、未認証ユーザーをログインページへ redirect するパターンの例。
Next.js の cookies() で httpOnly セッション Cookie を管理する
next/headers の cookies() を使い、ログイン時に httpOnly セッション Cookie を発行し、Server Component・Route Handler・Middleware で読み書きする例。
Next.js の cookies() でサーバーサイドのクッキーを読み書きする
App Router の cookies() を使い、Server Component・Server Actions・Route Handler でクッキーを読み書きする実装例。