google-chrome - 如何处理从 Chrome 80 开始的新的第三方 cookie 规则？

Question

从 Chrome 80 开始，第三方 cookie 将被阻止，除非他们有 SameSite=None和 Secure作为属性。与 None作为该属性的新值。 https://blog.chromium.org/2019/10/developers-get-ready-for-new.html

上面的博客文章指出 Firefox 和 Edge 计划在不确定的日期实现这些更改。这里列出了不兼容的浏览器列表 https://www.chromium.org/updates/same-site/incompatible-clients .

处理这种情况以实现跨浏览器兼容性的最佳做法是什么？

最初的想法是使用本地存储而不是 cookie，但有人担心将来本地存储可能会发生类似的变化。

Answer 1

您发现了一个好处，即随着浏览器转向更强大的保护用户隐私的方法，这改变了网站需要考虑处理数据的方式。网络的可组合/可嵌入性质与混合内容的隐私/安全问题之间肯定存在紧张关系。我认为这在锁定指纹向量以防止用户跟踪之间的冲突中目前正处于突出地位，这通常与站点用于检测欺诈的信号相同。一个古老的问题，如果你出于“好”的理由拥有完美的隐私，那意味着所有做“坏”事情的人(比如骑自行车浏览一批被盗的信用卡)也拥有完美的隐私。

无论如何，在所有这些道德困境之外，我建议在您需要跟踪与您的网站/服务相关的某种状态时，寻找鼓励用户与您的网站/服务建立有意的第一方关系的方法。从长远来看，似乎所有存储都将被分区，并且任何形式的跟踪都应通过知情同意进行编码，这似乎是一个普遍安全的假设。如果这不是事情的发展方向，那么我仍然认为您会创造更好的体验。

短期来看https://web.dev/samesite-cookie-recipes有一些选择:

使用两组 cookie，一组具有当前格式的 header ，另一组不捕获所有浏览器。

嗅探 useragent 以将适当的 header 返回给浏览器。

您还可以维护第一方 cookie，例如 SameSite=Lax或 SameSite=Strict当用户在顶级上下文中访问您的网站时，您用于刷新跨站点 cookie。例如，如果您提供一个可提供个性化内容的可嵌入小部件，如果没有 cookie，您可以在小部件中显示一条消息，将用户链接到原始站点以进行登录。这样您就明确地传达了值(value)允许您的用户跨此站点边界识别他们。

从长远来看，您可以查看类似 HTTP State Tokens 的提案。它概述了具有显式跨站点选择加入的单个客户端控制 token 。还有 isLoggedIn proposal它涉及提供一种向浏览器指示特定 token 用于跟踪用户 session 的方法。