本指南可帮助您了解 Chrome 停止支持第三方 Cookie 对您的插件造成的影响以及您需要做出的必要更改。
概览
2024 年 1 月 4 日,Chrome 向 1% 的用户推出了跟踪保护功能,该功能可在默认情况下限制网站访问第三方 (3P) Cookie。Chrome 预计将在 2025 年初完全停用第三方 Cookie。
Google 课堂插件中至少有两条用户体验历程会受到影响:
- Google 单点登录 (SSO) 流程
- 在新标签页中启动用户
Google 单点登录
在 Google SSO 流程中,系统会将用户引导至一个对话框,以便用户登录其 Google 账号并同意数据共享。
图 1. iframe 中 SSO 期间三种不同 Cookie 上下文的可视化效果:(1) 顶级 Classroom 应用,(2) 嵌入式第三方 iframe(在本例中为 localhost 上的 DavidPuzzle),以及 (3) 顶级 OAuth 对话框。
在典型的插件实现中,系统会在登录流程完成后设置会话 Cookie。加载项 iframe(位于嵌入式上下文中)会重新加载,现在包含会话 Cookie,从而允许用户访问其已通过身份验证的会话。不过,当第三方 Cookie 处于停用状态时,嵌入式上下文(例如插件 iframe)中的网站无法访问其各自顶级上下文中的 Cookie。对于 Google 课堂插件,用户无法访问其已通过身份验证的会话,并陷入登录循环。
对于在嵌入式 iframe 上下文中设置会话 Cookie 的实现,可以通过 CHIPS API 缓解此问题,该 API 允许嵌入式网站设置和访问分区 Cookie(同时基于嵌入方网域和嵌入网域的 Cookie)。不过,在登录对话框的顶级上下文中设置会话 Cookie 的实现无法访问 iframe 中的未分区 Cookie,从而导致登录失败。
新的标签
出于类似原因,如果用户在插件 iframe 中拥有基于 Cookie 的已验证会话,并且该 iframe 将用户启动到新顶级标签页以进行某项活动,则顶级标签页无法访问 iframe 中的分区会话 Cookie。这会阻止 iframe 会话状态保留到新标签页 activity,并可能会强制用户在新标签页中重新登录,例如。根据设计,CHIPS API 无法解决此问题;分区 iframe Cookie 在顶级上下文中无法访问。
开发者操作
随着 Chrome 逐步淘汰第三方 Cookie,您应考虑采取一些措施,以确保您的插件继续按预期运行。
- 在插件的关键用户历程中审核 第三方 Cookie 使用情况。更具体地说,在停用第三方 Cookie 的情况下进行测试,以评估对您的具体实现的影响。
探索 Storage Access API。对于所有插件实现,我们建议您探索 Storage Access API (SAA)。借助 SAA,iframe 可以在 iframe 上下文之外访问其 Cookie。SAA 目前已在 Chrome 中推出,并受 Google 课堂应用支持。
选择启用 FedCM。此外,如果您使用 GIS(即“使用 Google 账号登录”库),身份团队的官方建议是选择启用 FedCM。这不会取代第三方 Cookie 功能,但最终会成为 GIS 中第三方 Cookie 弃用的一部分。FedCM 目前已在 Chrome 中推出,并且 Google 课堂支持 FedCM,但相关行为和功能仍在开发中,欢迎提供反馈。
迁移到 GIS。如果您使用的是已弃用的 GSIv2 库(也称为 Google 登录库),强烈建议您迁移到 GIS,因为我们不确定未来是否会继续支持 GSIv2。
申请延迟弃用试用。Chrome 正在提供弃用试用,以允许非广告用例延迟第三方 Cookie 弃用的影响。如果获得批准,您将获得一个令牌,可以在插件中使用该令牌,以便在迁移到 SAA 等长期解决方案的同时,在 2024 年之前为您的来源保持启用第三方 Cookie。申请后,系统会要求您提供中断报告的 bug ID 或链接。我们的团队已针对 Classroom 加购项提交此问题,您可以提供此 bug。