学习
实践
活动
工具
TVP
写文章
专栏首页GA小站Chrome 80:Google 终于对第三方cookie出手了

Chrome 80:Google 终于对第三方cookie出手了

Google 终于对第三方cookie出手了

2019年2月4号, Chrome 80稳定版(版本号v80.0.3987.87)已正式面向Windows、macOS、Linux、Android和iOS全平台推送,此次更新有很多的改变,但我主要关注里面的cookie政策,这次更新的cookie政策明显是为了满足IETF提案《Incrementally Better Cookies》提出的两个关键更改:

  • 没有Samesite属性的cookie将视为SameSite=Lax
  • Samesite=None的cookie必须设置为安全,意味着可以使用安全的上下文

因为原有开放的cookie政策意味着用户容易受到CSRF跨站请求伪造和意外信息泄露的影响,如CSRF可以利用网站漏洞和和用户未退出第三方网站进行攻击,XSS读取第一方cookie造成信息泄露,这些风险可以通过校验规避一些,但为鼓励开发者为可以提供更安全的用户体验,所以IETF提出该提案。

在Chrome 80中,Chrome会将没有声明SameSite值的cookie默认设置为SameSite=Lax。只有采用SameSite=None; Secure设置的cookie可以从外部访问,前提是通过安全连接(即HTTPS)访问。

跟IETFF的填建议是一一对应的,Chrome 80的cookie规则可以拆分成两条:

  • 第一个,Cookie默认设置为SameSite=Lax,会禁止第三方cookie的使用
  • 第二个,SameSite = None拒绝不安全的的cookie,要使用第三方cookie,Chrome将要求开发人员将第三方Cookie设置为SameSite = None,并将其标记为安全,使用https的安全形式

Chrome 80 预计是在2019年2月份完成更新,Firefox和Edge也会跟进,但没有公布时间表。

什么是SameSite呢?

SameSite是cookie标准的一部分,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,用来防止CSRF攻击和用户追踪,none是在2018年才增加上去,目前一共有三个值:strict、lax和none,在2017年11月,Chrome、Firefox、Edge、Safari和Opera支持前两个值,在2019年5月,谷歌公布将未设置Samesite的,统一设置成none,但在Chrome 80,也就是2020年2月后默认是lax。

  • Strict:严格模式,表明这个 cookie 在任何情况下都不可能作为第三方 cookie,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这种情况通常用于只有少数人登录的后台系统。
  • Lax:宽松模式,仅当浏览器URL显示的域名和cookie的域名匹配,才发送此有此设置的cookie,这个是chrome 80中cookie的最新默认设置,详见上面规则第一条。
  • None:设置为none表示可以跨域发送。

Samesite对第三方cookie的做了限制,所以使用到第三方的cookie,需要根据这个要求去做调整,开发需要工作了。另外使用samesite=lax或samesite=严格的语法就可以防止Cookie被外部服务访问,不用再去校验,更方便。

自从苹果的ITP,Firefox的ETP变得越来越严格,第三方cookie被排挤的节奏了,感觉要放弃它了。

总结:Chrome对第三方cookie做了更严格的限制,对第一方cookie没有影响,需要主动设置Samesite的值;如果需要使用第三方cookie,那么需要设置为none而且是Secure且通过https发送。

文章分享自微信公众号:
GA小站

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

作者:Haran
原始发表时间:2020-02-15
如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • 应对Chrome中的Samesite,在Google Analytics中设置cookieFlags

    cookieFlags是Google Analytics新增增加的的一个设置,这个设置只存在于统一版跟踪代码、全局版跟踪代码和APP+Web,其中统一版对应的是...

    GA小站
  • 世界正在向Cookieless方向发展

    Firefox也跟进推出了个ETP(全称是Enhanced Tracking Protection,中文名为增强跟踪保护),作用跟ITP类似。

    GA小站
  • 看了Chrome收集的个人数据,我发现谷歌被控涉嫌垄断不亏

    姓名、通讯地址、邮箱、通讯录、位置、搜索历史、浏览历史、流量使用、用户信息、设备信息、支付信息。

    FB客服
  • Adobe Analytics的数据收集CNAME

    CNAME 即指别名记录,也被称为规范名字。一般用来把域名解析到别的域名上,或是将一个域名映射到另一个域名。将可供第三方分析提供商使用的子域名通过 CNAME ...

    GA小站
  • Chrome 83 发布,支持直接读写本地文件!新的跨域策略!

    受新冠疫情影响,Chrome 稳定版本的更新直接跳过 v82 来到 Chrome 83,因此很多原本在 Chrome 82上就要正式发布的功能也悉数积攒到了本次...

    ConardLi
  • WEB界面测试实践之Selenium WebDriver

    jeremyxu
  • ITP 1.0到ITP 2.3,基于Cookie的跟踪何去何从?​

    Cookie 广泛用于各类网站,以在可行范围内确保最高效、最安全的用户体验。Cookie 是小型文本文件,你访问网站时 Cookie 会被下载至你的个人设备,并...

    GA小站
  • 详解 Cookie 新增的 SameParty 属性

    各大主流浏览器正在逐步禁用 三方Cookie ,之前笔者也在下面这篇文章中分析了全面禁用 三方Cookie 后对我们的网站带来的一些影响:

    ConardLi
  • 【Web技术】582- 聊聊 Cookie “火热”的 SameSite 属性

    2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的很多应用都产生了问题,为此还专门成立了小组,推动各 BU...

    pingan8787
  • Chrome十周年,作了一次死

    但就在10周年纪念版发布后,最近,它成了被国外网友集体diss的浏览器——因为又关乎隐私。

    量子位
  • Chrome:垄断,真的可以为所欲为

    Chrome对此的解释是:网页内嵌的第三方页面弹窗可能让用户误以为这是当前页面弹出的弹窗,从而带来隐私风险。

    公众号@魔术师卡颂
  • 对 Google 说不 - 本站已启用屏蔽 FLoC 的 HTTP 标头

    被广泛用于定向广告业务和用户数据收集的第三方 Cookie 即将迎来它的消失,而 Google 正试图设计一种方法让广告商在第三方 Cookie 消失后继续根据...

    Shiroka
  • Chrome 宣布推迟对三方 Cookie 的禁用

    近日, Google 宣布推迟在 Chrome 浏览器中阻止第三方Cookie 的计划。

    ConardLi
  • Chrome 80.X版本如何解密Cookies文件

    最近遇到了一个头疼的问题,就是Chrome在2月份更新了版本 80.0.3987.122(正式版本) (64 位),以前写的抓取Cookies文件的脚本用不了,...

    HACK学习
  • 当浏览器全面禁用三方 Cookie

    苹果公司前不久对 Safari 浏览器进行一次重大更新,这次更新完全禁用了第三方 Cookie,这意味着,默认情况下,各大广告商或网站将无法对你的个人隐私进行...

    ConardLi
  • 搭建谷歌浏览器无头模式抓取页面服务,laravel->php->python->docker

    公司管理系统需要获取企业微信页面的配置参数如企业名、logo、人数等信息并操作,来隐藏相关敏感信息并自定义简化企业号配置流程

    猿哥
  • Apple新功能推动在线广告改革

    据The Information称,Apple的Intelligent Tracking Prevention功能使在线广告商难以将Safari的用户作为目标用...

    shellmik
  • Google 最新的性能优化方案,LCP 提升30%!

    网页的性能,大部分情况下是影响用户使用体验的第一要素,特别是对于很多电商、金融网站,可能几秒的性能提升就意味着更大的转化率和收益。

    ConardLi
  • 三方 Cookie 替代品 — 隐私沙盒的最新进展

    大家好,我是 ConardLi,今天和大家一起来看一下 Chrome 隐私沙盒的最新进展。

    ConardLi

扫码关注腾讯云开发者

领取腾讯云代金券