瞭解第三方 Cookie
在跨網站內容 (例如 iframe 或子資源要求) 中傳送的 Cookie,通常稱為「第三方 Cookie」。
- 從其他網站分享的嵌入內容,例如影片、地圖、程式碼範例和社群貼文。
- 外部服務的小工具,例如付款、日曆、預訂和預訂。
- 社群按鈕或反詐欺服務等小工具。
- 遠端
<img>或<script>資源需要依賴 Cookie 來隨要求傳送 (通常用於追蹤像素及提供個人化內容)。
2019 年,瀏覽器改變了 Cookie 行為,預設將 Cookie 限制為第一方存取權。目前在跨網站結構定義中使用的 Cookie 都必須以 SameSite=None 屬性設定。
Set-Cookie: cookie-name=value; SameSite=None; Secure
稽核第三方 Cookie 使用情形
SameSite=None 值可以識別標示第三方使用的 Cookie。您應該搜尋程式碼,尋找將 SameSite 屬性設為這個值的執行個體。如果您先前在 2020 年左右曾將 SameSite=None 新增至 Cookie,建議您採用這些變更,這或許是很好的起點。
如果發現標示為 SameSite=None 的 Cookie,但該網站似乎並未用於跨網站環境,請檢查這是否為刻意納入考量的 Cookie,因為這類 Cookie 可能會用於其他跨網站的內容。否則 SameSite=None 可能在無意間設定,請移除所有不必要的 SameSite=None 使用。
分區 Cookie (使用 Partitioned 屬性設定的項目) 在支援這個屬性的瀏覽器上遭淘汰後,仍會繼續放送。
Chrome 開發人員工具
Chrome 開發人員工具「Network」面板會顯示設定並在收到要求時傳送的 Cookie。在「應用程式」面板中,您可以在「儲存空間」底下看到「Cookie」標題。對於網頁載入期間,您可以瀏覽每個網站所儲存的 Cookie。你可以依 SameSite 欄排序,將所有 None Cookie 分組。
在 Chrome 118 版中,開發人員工具分頁會顯示破壞性變更問題:「未來的 Chrome 版本將封鎖跨網站結構定義傳送的 Cookie」。問題會列出目前網頁可能受影響的 Cookie。
Privacy Sandbox 分析工具 (PSAT)
此外,我們也打造了 Privacy Sandbox 分析工具 (PSAT),這項 DevTools 擴充功能可在瀏覽工作階段期間分析 Cookie 使用情形。此做法提供了 Cookie 和 Privacy Sandbox 功能的偵錯途徑,並介紹深入瞭解 Privacy Sandbox 計畫的存取點。
這項擴充功能可與開發人員工具搭配使用,針對淘汰第三方 Cookie 和採用新的隱私權保護替代方案,分析及偵錯相關情境。
您可以前往 Chrome 線上應用程式商店下載這個擴充功能,或是存取 PSAT 存放區和維基。
洽詢第三方服務供應商
如果您發現第三方設定的 Cookie,請聯絡相關供應商,確認對方是否有逐步淘汰第三方 Cookie 的計畫。例如,您可能需要升級您使用的程式庫版本、變更服務中的設定選項,或者如果第三方自行處理必要變更,則不採取任何行動。
改善第一方 Cookie
如果您從未在第三方網站上使用您的 Cookie (例如設定 Cookie 來管理您網站上的工作階段,且從未在跨網站 iframe 中使用),您就應該明確將該 Cookie 標記為 SameSite=Lax 或 SameSite=Strict。還有其他許多合理的預設設定,可用於第一方 Cookie。詳情請參閱「第一方 Cookie 的食譜」。