2020 年 1 月 16 日,星期四
本博文是与 Chromium 开发者博客交叉发布的一篇博文,专门介绍了 Chrome 变更在未来对用户使用您的网站可能产生什么影响。
5 月份,Chrome 宣布推出了一个默认安全的 Cookie 安全模型,由新的 Cookie 分类系统(规范)提供支持。我们一直致力于改善整个网络的隐私性和安全性,此计划就是这方面的工作之一。
Chrome 计划于 2020 年 2 月在 Chrome 80 中实现这一新模型。Mozilla 和 Microsoft 也表示,他们打算按照各自的时间规划在 Firefox 和 Edge 中实现此新模型。虽然 Chrome 变更还有几个月才会实施,但负责管理 Cookie 的开发者需要立即评估自身准备情况,这一点非常重要。本博文将概述总体概念;如需获取开发者指南,请参阅 web.dev 上的 SameSite Cookie 的说明。
了解跨网站 Cookie 环境和同网站 Cookie 环境
网站通常会集成外部服务,以便提供广告、内容推荐、第三方 Widget、社交媒体嵌入和其他功能。当您浏览网页时,这些外部服务可能会在您的浏览器中存储 Cookie,然后访问这些 Cookie 来提供个性化体验或衡量受众群体互动度。每个 Cookie 都有一个关联的网域。如果与 Cookie 关联的网域与某项外部服务匹配,但与用户地址栏中的网站不匹配,这种情况就会被视为跨网站环境(或“第三方”环境)。
有一类不那么明显的跨网站用例,就是一个实体拥有多个网站,而这些网站共用一个 Cookie。虽然这些 Cookie 和网站属于同一实体,但如果 Cookie 的网域与访问该 Cookie 的网站不匹配,则这种情况仍然属于跨网站或“第三方”环境。
当网页上的外部资源访问与网站网域不匹配的 Cookie 时,视为跨网站环境或“第三方”环境。
相反,当 Cookie 的网域与用户地址栏中的网站网域匹配时,则视为在同一网站(或“第一方”)环境中访问 Cookie。同一网站 Cookie 通常用于使用户在各个网站保持登录状态、记住其偏好设置并支持网站分析。
当网页上的资源访问与用户正在访问的网站相匹配的 Cookie 时,视为同一网站或“第一方”环境。
新的 Cookie 安全性和透明度模型
目前,如果只打算在第一方环境中访问 Cookie,则开发者可以选择应用两种设置(SameSite=Lax 或