SameSite ti consiglio di impostarlo a Lax. Se poi riesci a fare andare il sito bene impostando il cookie di autenticazione a Strict ancora meglio. Ci sono casistiche difficili da gestire ma è cosa fattibile.
La sicurezza prima di tutto.
Concordo con il consiglio di @Alka, fai girare tutto su https.
Aggiungo scordati gli iframe e fai il possibile affinché il sito non possa essere incluso in un iframe.