专栏首页GA小站Chrome 80:Google 终于对第三方cookie出手了

Chrome 80:Google 终于对第三方cookie出手了

Google 终于对第三方cookie出手了

2019年2月4号, Chrome 80稳定版(版本号v80.0.3987.87)已正式面向Windows、macOS、Linux、Android和iOS全平台推送,此次更新有很多的改变,但我主要关注里面的cookie政策,这次更新的cookie政策明显是为了满足IETF提案《Incrementally Better Cookies》提出的两个关键更改:

  • 没有Samesite属性的cookie将视为SameSite=Lax
  • Samesite=None的cookie必须设置为安全,意味着可以使用安全的上下文

因为原有开放的cookie政策意味着用户容易受到CSRF跨站请求伪造和意外信息泄露的影响,如CSRF可以利用网站漏洞和和用户未退出第三方网站进行攻击,XSS读取第一方cookie造成信息泄露,这些风险可以通过校验规避一些,但为鼓励开发者为可以提供更安全的用户体验,所以IETF提出该提案。

在Chrome 80中,Chrome会将没有声明SameSite值的cookie默认设置为SameSite=Lax。只有采用SameSite=None; Secure设置的cookie可以从外部访问,前提是通过安全连接(即HTTPS)访问。

跟IETFF的填建议是一一对应的,Chrome 80的cookie规则可以拆分成两条:

  • 第一个,Cookie默认设置为SameSite=Lax,会禁止第三方cookie的使用
  • 第二个,SameSite = None拒绝不安全的的cookie,要使用第三方cookie,Chrome将要求开发人员将第三方Cookie设置为SameSite = None,并将其标记为安全,使用https的安全形式

Chrome 80 预计是在2019年2月份完成更新,Firefox和Edge也会跟进,但没有公布时间表。

什么是SameSite呢?

SameSite是cookie标准的一部分,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,用来防止CSRF攻击和用户追踪,none是在2018年才增加上去,目前一共有三个值:strict、lax和none,在2017年11月,Chrome、Firefox、Edge、Safari和Opera支持前两个值,在2019年5月,谷歌公布将未设置Samesite的,统一设置成none,但在Chrome 80,也就是2020年2月后默认是lax。

  • Strict:严格模式,表明这个 cookie 在任何情况下都不可能作为第三方 cookie,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这种情况通常用于只有少数人登录的后台系统。
  • Lax:宽松模式,仅当浏览器URL显示的域名和cookie的域名匹配,才发送此有此设置的cookie,这个是chrome 80中cookie的最新默认设置,详见上面规则第一条。
  • None:设置为none表示可以跨域发送。

Samesite对第三方cookie的做了限制,所以使用到第三方的cookie,需要根据这个要求去做调整,开发需要工作了。另外使用samesite=lax或samesite=严格的语法就可以防止Cookie被外部服务访问,不用再去校验,更方便。

自从苹果的ITP,Firefox的ETP变得越来越严格,第三方cookie被排挤的节奏了,感觉要放弃它了。

总结:Chrome对第三方cookie做了更严格的限制,对第一方cookie没有影响,需要主动设置Samesite的值;如果需要使用第三方cookie,那么需要设置为none而且是Secure且通过https发送。

本文分享自微信公众号 - GA小站(ichdata),作者:Haran

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 应对Chrome中的Samesite,在Google Analytics中设置cookieFlags

    cookieFlags是Google Analytics新增增加的的一个设置,这个设置只存在于统一版跟踪代码、全局版跟踪代码和APP+Web,其中统一版对应的是...

    GA小站
  • Adobe Analytics的数据收集CNAME

    CNAME 即指别名记录,也被称为规范名字。一般用来把域名解析到别的域名上,或是将一个域名映射到另一个域名。将可供第三方分析提供商使用的子域名通过 CNAME ...

    GA小站
  • Chrome 83 发布,支持直接读写本地文件!新的跨域策略!

    受新冠疫情影响,Chrome 稳定版本的更新直接跳过 v82 来到 Chrome 83,因此很多原本在 Chrome 82上就要正式发布的功能也悉数积攒到了本次...

    ConardLi
  • 搭建谷歌浏览器无头模式抓取页面服务,laravel->php->python->docker

    公司管理系统需要获取企业微信页面的配置参数如企业名、logo、人数等信息并操作,来隐藏相关敏感信息并自定义简化企业号配置流程

    猿哥
  • ITP 1.0到ITP 2.3,基于Cookie的跟踪何去何从?​

    Cookie 广泛用于各类网站,以在可行范围内确保最高效、最安全的用户体验。Cookie 是小型文本文件,你访问网站时 Cookie 会被下载至你的个人设备,并...

    GA小站
  • 利用HSTS嗅探浏览器历史纪录的三个漏洞

    HSTS是让浏览器强制使用HTTPS访问网站的一项安全策略。HSTS的设计初衷是缓解中间人攻击带来的风险。本文主要介绍HSTS及其他Web功能带来的一些隐私问题...

    FB客服
  • Chrome:垄断,真的可以为所欲为

    Chrome对此的解释是:网页内嵌的第三方页面弹窗可能让用户误以为这是当前页面弹出的弹窗,从而带来隐私风险。

    公众号@魔术师卡颂
  • Apple新功能推动在线广告改革

    据The Information称,Apple的Intelligent Tracking Prevention功能使在线广告商难以将Safari的用户作为目标用...

    shellmik
  • Chrome 宣布推迟对三方 Cookie 的禁用

    近日, Google 宣布推迟在 Chrome 浏览器中阻止第三方Cookie 的计划。

    ConardLi
  • 当浏览器全面禁用三方 Cookie

    苹果公司前不久对 Safari 浏览器进行一次重大更新,这次更新完全禁用了第三方 Cookie,这意味着,默认情况下,各大广告商或网站将无法对你的个人隐私进行...

    ConardLi
  • [实战]如何在Kali Linux中进行WIFI钓鱼?

    文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用! ? 0x00 实验环境 操作系统:Kali 1.0 (VM) FackAP: ea...

    用户1631416
  • 看了Chrome收集的个人数据,我发现谷歌被控涉嫌垄断不亏

    姓名、通讯地址、邮箱、通讯录、位置、搜索历史、浏览历史、流量使用、用户信息、设备信息、支付信息。

    FB客服
  • 当你在浏览器中输入“google.com”并回车,会发生什么?

    曾经遇到过的一个最喜欢的面试问题是这样的:你键入'google. com'到一个浏览器地址栏中, 并点击<Enter>, 之后会发生什么呢?

    养码场
  • Chrome十周年,作了一次死

    但就在10周年纪念版发布后,最近,它成了被国外网友集体diss的浏览器——因为又关乎隐私。

    量子位
  • Chrome 81 正式发布 !消灭混合内容最后一步~

    Chrome 81 于前天正式发布了,这个版本其实最初是计划在 3 月 17 号 发布的,但由于冠状病毒(COVID-19)爆发而导致推迟到了现在。Chrome...

    ConardLi
  • 对访客进行标记与追踪

    随着互联网的广泛普及,数以亿计网民的用户数据和网络行为数据早已成为最宝贵的资源,企业通过五花八门的各种手段去识别用户,了解网民的行为和隐私数据,用于广告投递、用...

    GA小站
  • 网站开发人员应该知道的61件事

    通常情况下,你需要把所有人的发言从头到尾读一遍。但是,Stack Overflow有一个很贴心的设计,它允许在问题下方开设一个wiki区,让所有人共同编辑一个最...

    ruanyf
  • 浏览器隐身模式下的你,仍然没有任何隐私

    你以为你浏览器开了隐身模式,你就真的"隐身"了吗?No!No!No!今天带你从前端的视角来看了解浏览器的隐身模式。

    程序员鱼皮
  • 浏览器隐身模式下的你,仍然没有任何隐私

    现代网络浏览器,大多数都增加了隐私浏览模式来浏览网页,旨在保护用户隐私。Chrome 称之为隐身模式;Opera、Safari 和 Firefox 中一般称为隐...

    公众号@魔术师卡颂

扫码关注云+社区

领取腾讯云代金券