ご回答ありがとうございます。 （徳丸様の徳丸本やTwitter等いつも拝見しておりましたので、ご本人から返信いただき感動しました。） >samesite=laxでもGETメソッドの場合はcookieが飛ぶので、 >単にAサイト→Bサイト→Aサイト（GET）ならログインは維持されます。 Getメソッドで、cookieが飛ぶこと失念しておりました。 なぜかGetメソッドだとURLクエリとしてしか、セッション情報を渡さないといけないのでは？と思い込んでました。 >また、samesite=None および secure を指定したCookieなら、 >POSTでもCookieが飛ぶのでログインは維持されます。 こちらについては私も認識しておりました。 しかしながら、Noneと明示的に宣言した場合、cookieを用いてセッション管理をしているサイトですと、CSRFの脅威に対するリスクをはらむのかなと思っております。 （それをGoogleさんとしては無くしたいのでデフォルトをLaxに変えたものと理解しております） ＞これに対して、「cookie以外の方法でセッションを維持」 ＞というのは一つの方法ではありますが、新規サイトならともかく、 ＞既存のサイトの場合は改修コストが大きすぎるでしょう。 やはりそうですよね。ありがとうございます。 そうなりますと、既存で運営しているサイトで、その仕様としてCookieを用いてセッション管理実施かつ、外部サイト（決済機能等）とのインターフェースを　POSTメソッドで実装しているサイトと仮定すると。対応としては、 ・samesite=None,secure にしてCSRFへの脅威からのリスクを許容するないし、 　セッション毎にサーバ側で別途セキュリティ強化策を講じる（例：セッション毎に画面の遷移情報などをサーバで保有する）などを行う ・外部サイトからの戻りのインタフェースをGetメソッドに変更することで、Cookieが送信されるようにする の大きく分けて２つという感じでしょうか。 こうやって返信を書いていて、私がまだ理解が足りないなと感じたのは、 そもそもCSRFの対策としてsamesiteをNoneからLaxへ変更したとしても、 GetメソッドだとCookieが送られてしまうという仕様である点が腹に落ちていません。 Getメソッドで、更新処理（退会処理、購入処理など）をWEBサーバ側で実施していると、CSRFの被害には合うのではないか？と私の中でもやもやしているので勉強してみます。 ありがとうございました。