Leggendo quali sono le eccezioni predefinite sorge un dubbio.
Casualmente ne avevo scritto proprio oggi

Da quel che ho capito le eccezioni servono per consentire i login tramite terze parti. Ad esempio su GitHub si può fare login con l'account Google, ma questo richiede un cookie cross-site.
Queste eccezioni comunque sono previste solo per cookie non utilizzati per il tracciamento.