Отключить защиту Spring Security CSRF с помощью файлов cookie SameSite

Итак, у нас есть платформа, защищенная токеном доступа JWT. Чтобы получить доступ к REST API платформы, мы отправляем токен в заголовке Bearer Authorization; при извлечении статического контента (такого как код SPA, CSS, шрифты или даже для перехода между SPA) мы отправляем токен в Cookie, поскольку у нас нет контроля над этими запросами. Мы были в порядке пока...

В какой-то момент мы добавили Spring Security в наши API. Это облегчило нам некоторые задачи, но SonarQube отображал предупреждения об отключении защиты CSRF в Spring Security (при настройке инфраструктуры, которую мы используем, pfff, мы используем заголовки для транспортировки нашего JWT, нам не нужна защита CSRF для наших API), но мы пытались решить предупреждение в любом случае.

Расследуя мы столкнулись SameSite атрибут для файлов cookie, и мы немного растеряны, если это решит все наши проблемы.

Таким образом, вопрос будет: SameSite Достаточно ли атрибутов cookie для защиты CRSF?

Если так, есть ли способ сообщить Spring Security / SonarQube, что мы в порядке против таких атак?