专栏首页code秘密花园谁能帮我们顺利过渡到没有三方 Cookie 的未来?

谁能帮我们顺利过渡到没有三方 Cookie 的未来?

大家好,我是 ConardLi,今天我们继续来聊 Cookie 。还是三方 Cookie 的问题,我们先回顾一下:

第三方 Cookie 可以让服务跟踪用户并从许多不相关的顶级站点分析他们的信息,我们一般称之为跨站点跟踪。

例如,当用户访问站点 A 时,来自站点 Ciframe 内容可以在用户的浏览器上设置一个 Cookie 来响应跨站点的请求。如果用户随后访问也嵌入了 C 的站点 B,则站点 C 可以访问到先前在用户访问站点 A 时设置的相同 Cookie

为了保护用户的隐私,浏览器供应商正在对这种行为进行限制,并逐步停止对第三方 Cookie 的支持。目前 Safari 已经完全禁止了三方 CookieChrome 也宣布将会在未来的两年内弃用。

目前业界仍然没有比较成熟的方案来应对三方 Cookie 被禁用后的各种影响。具体三方 Cookie 禁用后的影响可以看这篇文章:

当浏览器全面禁用三方 Cookie

去年 Cookie 新增的 SameParty 属性可以在一定场景下替代三方 Cookie,它可以让在同一个运营主体下不同域名的 Cookie 也能共享。

但是应对场景还是有些局限,另外配置也比较复杂,所以目前还没得到大规模使用。详细解读看我这篇文章:

详解 Cookie 新增的 SameParty 属性

一个常见的业务场景

假如我们现在有一个通用的聊天服务,由第三方服务 support.chat.example 提供支持,我们的网站 retail.example 希望用 iframe 的方式嵌入这个聊天框。这个嵌入式的聊天服务可能会依赖 Cookie 来保存用户的交互历史记录。

假如没有了设置跨站点三方 Cookie 的能力,则 support.chat.example 可能需要更改为依赖 retail.example 传递给他们的第一方会话的一些标识符。在这种情况下,每个嵌入 support.chat.example 聊天服务的网站都需要额外的设置来传递状态,这大大增加了开发成本。

或者,我们也可以允许 support.chat.example 请求 retail.example 页面上的 JavaScript。这引入了非常大的安全风险,也不是个靠谱的方法。

CHIPS

为了应对这种问题,Chrome 提出了具有独立分区状态的 Cookie (CHIPS) ,它允许开发者将 Cookie 选择到“分区”存储中,每个顶级站点都有单独的 Cookie jar

Chrome 官方是这样描述它的:CHIPS 是帮助服务顺利过渡到没有第三方 Cookie 的未来的重要一步。

CHIPS 引入了一个新的 Cookie 属性:Partitioned ,它可以让顶级上下文分决定哪些 Cookie 进行分区。

还是上面的例子,我们在站点 A 中通过 iframe 嵌入了一个站点 C,正常情况下如果三方 Cookie 被禁用后,C 是无法在 A 站点访问到它的 Cookie 的。

如果 C 在它的 Cookie 上指定了 Partitioned 属性,这个 Cookie 将保存在一个特殊的分区 jar 中。它只会在站点 A 中通过 iframe 嵌入站点 C 时才会生效,浏览器会判定只会在顶级站点为 A 时才发送该 Cookie

当用户访问一个新站点时,例如站点 B,如果也它通过 iframe 嵌入了站点 C,这时在站点 B 下的站点 C 是无法访问到之前在 A 下面设置的那个 Cookie 的。

如果用户直接访问站点 C ,一样也是访问不到这个 Cookie 的。

这就在保护了用户隐私的情况下完美的解决了 iframe 页面三方 Cookie 的问题,完美 ~

下面是启用了 CHIPSCookie 的分区键的变化:

试用

CHIPS 将在 Chrome 100103 版本启动试用版本!

如果想在本地试用,可以在 Chrome Canary 中打开 chrome://flags/#partitioned-cookies 标志:

完整提案:https://github.com/WICG/CHIPS

SameParty 一样,CHIPS 也是其实也是解决三方 Cookie 问题众多提案中的一个,因为 Cookie 的改动影响太大,谁能最终脱颖而出成为各大浏览器的通用方案还不好说,我们后续拭目以待吧~,有新的方案出来我会第一时间为大家解读!

文章分享自微信公众号:
code秘密花园

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

作者:ConardLi
原始发表时间:2022-03-22
如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • 破解YouTube、Facebook推荐系统背后的那些算法

    我之前翻译过一篇文章《破解 YouTube 的视频推荐算法》,得到了很多人的好评,在各个算法、大数据公号上纷纷转载。最初看到这篇文章是@fengyoung 在F...

    后端技术探索
  • 【数据应用】TalkingData首席金融专家鲍忠铁:移动大数据在金融行业创造价值

    TalkingData首席金融专家鲍忠铁应邀参加8月20日由文思海辉主办的“2015数字化时代的商业智能转型和大数据创新研讨会”。 以下为现场实录部分内容摘要:...

    陆勤_数据人网
  • 跨境支付企业乒乓智能,上市之路有多难?

    尽管乒乓智能冲刺创业板已不是新闻,但在当前环境下,乒乓智能仍要继续冲刺IPO,单就这份勇气,就值得一说。

    用户8049510
  • 关于Cookie:你必须知道的事

    罗超为纽约时报中文网撰稿 2013年2月26日发表于纽约时报中文网首页 在今年的中央电视台315晚会中, 对用户网络隐私权的侵犯行为成为被曝光的对象之一,央...

    罗超频道
  • CORS 完全手册之 CORS 详解

    在 CORS 完全手册之如何解决CORS 问题?里面我们提到了常见的CORS 错误解法,以及大多数状况下应该要选择的解法:「请后端加上response head...

    coder_koala
  • ITP 1.0到ITP 2.3,基于Cookie的跟踪何去何从?​

    Cookie 广泛用于各类网站,以在可行范围内确保最高效、最安全的用户体验。Cookie 是小型文本文件,你访问网站时 Cookie 会被下载至你的个人设备,并...

    GA小站
  • fencedframe 可以替代 iframe 吗?

    今天继续聊 浏览器策略 ,这是我 「浏览器策略解读」 专栏的第 35 篇文章了,感谢读者们一如既往的支持!

    ConardLi
  • 微众微粒贷、蚂蚁借呗、京东金条,谁能赢得网贷下半场?

    作为当前互联网金融市场最重要的分支之一,网络借贷已入“短、平、快、准”的移动互联网时代。不论是传统银行、消费金融公司还是BAT巨头、P2P等互联网金融平台,都在...

    曾响铃
  • 腾讯三面:Cookie的SameSite了解吧,那SameParty呢?

    同源协议中的源是由「协议+域名+端口」三者一起定义的,有一个不同就不算同源,而同站只受域名的约束,并且还不要求一模一样——只要「有效顶级域名+二级域名」相同,都...

    用户9899350
  • h5高效本地调试环境搭建

    调试是永远和开发分不开的一个话题,我相信没有谁能够不经过调试,一气呵成,将一个需求开发出来,如果是这样,一般都是一通操作猛于虎,一看bug在跳广场舞。嗯,段子讲...

    brzhang
  • 【智能驾驶】刘玉超:IT人与汽车人的跨界创新

    ? 刘玉超博士,中国指挥与控制学会副秘书长、高级工程师,曾担任李德毅院士学术助手,研究方向指控系统、智能驾驶,提出基于云变换的变粒度计算方法,获得清华大学计算...

    新智元
  • 医药电商平台发展:医药B2B平台与B2C电商模式如何抉择

    医药电商不管是从政策、资本方面的而言,涉及面、人群都是极广的,电子商务的发展带动了各行各业的发展,医药电子商务更是蓄势待发,小到医药行业企业的参与,大到非传统意...

    数商云
  • Html5 学习系列(一)认识HTML5

            在讲什么是Html5之前得先了解两个组织;WHATWG :网页超文本技术工作小组(英语:Web Hypertext Application Te...

    老马
  • 如果网站的 Cookie 超过 4K,会发生什么情况?

    众所周知,Cookie 是塞在请求头里的。如果 Cookie 太多,显然整个 HTTP 头也会被撑大。

    业余草
  • Confluence 6 的小型文字档案(Cookies)

    这个页面列出了存储在 Confluence 用户浏览器中的小型文字档案(Cookies)内容。这些内容是由 Confluence 自己创建的。这个页面不会列出由...

    HoneyMoose
  • 后厂村:蔚来汽车二次上市,与钱无关?

    2022年,或许是新势力车企们最具“历史性意义”的一年,或许也是新能源汽车用户终将难忘的一年。随着全球化的智能电动汽车品牌蔚来在3月10日登陆港交所实现二次上市...

    后厂村

扫码关注腾讯云开发者

领取腾讯云代金券