Chrome, Firefox, Edge, và những tổ chức khác đang thay đổi hành vi mặc định cho phù hợp với IETF đề xuất, Cookie tốt hơn sao cho:
- Những cookie không có thuộc tính
SameSite
sẽ được coi làSameSite=Lax
, nghĩa là hành vi mặc định là hạn chế cookie cho bên thứ nhất bối cảnh chỉ. - Cookie để sử dụng trên nhiều trang web phải chỉ định
SameSite=None; Secure
để cho phép đưa vào ngữ cảnh của bên thứ ba.
Nếu chưa thực hiện, bạn nên cập nhật các thuộc tính cho để không bị chặn trong tương lai.
Các trường hợp sử dụng cookie của nhiều trang web hoặc bên thứ ba
Có một số trường hợp sử dụng và mẫu phổ biến mà cookie cần được được gửi trong ngữ cảnh bên thứ ba. Nếu bạn cung cấp hoặc phụ thuộc vào một trong những việc sử dụng này hãy đảm bảo rằng bạn hoặc nhà cung cấp đang cập nhật cookie của họ thành giúp dịch vụ hoạt động chính xác.
Nội dung trong một <iframe>
Nội dung trên một trang web khác xuất hiện trong <iframe>
lại thuộc về bên thứ ba
ngữ cảnh. Các trường hợp sử dụng tiêu chuẩn bao gồm:
- Nội dung đã nhúng được chia sẻ từ các trang web khác, chẳng hạn như video, bản đồ, mã mẫu, và bài đăng trên mạng xã hội.
- Các tiện ích cho dịch vụ bên ngoài như thanh toán, lịch, đặt chỗ và các tính năng đặt trước.
- Những tiện ích như nút mạng xã hội hoặc dịch vụ chống lừa đảo có thể tạo ra những thông tin ít rõ ràng hơn
<iframes>
.
Cookie có thể được sử dụng tại đây để, ngoài các mục đích khác, duy trì trạng thái phiên, lưu trữ tuỳ chọn chung, bật số liệu thống kê hoặc cá nhân hoá nội dung cho người dùng với tài khoản hiện có.
Vì web vốn có thể kết hợp, nên <iframes>
cũng được dùng để nhúng
được xem trong ngữ cảnh cấp cao nhất hoặc bên thứ nhất. Mọi cookie mà trang web
hiển thị trong iframe được coi là cookie của bên thứ ba. Nếu bạn
tạo trang web mà bạn muốn các trang web khác nhúng và cần cookie để tạo các trang web đó
bạn cũng cần phải đảm bảo những URL đó được đánh dấu để sử dụng trên nhiều trang web hoặc
có thể quay lại dễ dàng nếu không có họ.
"Không an toàn" yêu cầu trên các trang web
"Không an toàn" có vẻ đáng lo ngại ở đây, nhưng nó đề cập đến mọi yêu cầu có thể
nhằm thay đổi trạng thái. Trên web, chủ yếu là các yêu cầu POST. Bánh quy
được đánh dấu là SameSite=Lax
sẽ được gửi trong lần điều hướng cấp cao nhất an toàn, chẳng hạn như nhấp vào
để chuyển đến một trang web khác. Tuy nhiên, chẳng hạn như việc gửi <form>
để
một trang web khác sử dụng phương thức POST sẽ không bao gồm cookie.
Mẫu này dùng cho các trang web có thể chuyển hướng người dùng đến một điều khiển từ xa
dịch vụ để thực hiện một số thao tác trước khi quay lại, ví dụ: chuyển hướng đến
nhà cung cấp danh tính bên thứ ba. Trước khi người dùng rời khỏi trang web, cookie sẽ được
tập hợp chứa một mã thông báo sử dụng với kỳ vọng rằng mã thông báo này có thể
được kiểm tra trên yêu cầu trả lại hàng để giảm thiểu
Giả mạo yêu cầu trên nhiều trang web (CSRF)
cuộc tấn công. Nếu yêu cầu trả lại hàng được thực hiện qua POST, bạn cần phải đánh dấu
dưới dạng SameSite=None; Secure
.
Tài nguyên từ xa
Mọi tài nguyên từ xa trên một trang, chẳng hạn như từ thẻ <img>
hoặc thẻ <script>
,
có thể dựa vào cookie được gửi cùng với một yêu cầu. Các trường hợp sử dụng phổ biến bao gồm
theo dõi pixel và cá nhân hoá nội dung.
Điều này cũng áp dụng cho các yêu cầu được gửi từ JavaScript bằng cách sử dụng fetch
hoặc
XMLHttpRequest
. Nếu fetch()
được gọi bằng phương thức
Lựa chọn credentials: 'include'
,
những yêu cầu đó có thể bao gồm cookie.
Đối với XMLHttpRequest
, cookie dự kiến thường được biểu thị bằng một
Giá trị withCredentials
cho true
. Những cookie này phải được đánh dấu phù hợp để được đưa vào
yêu cầu trên nhiều trang web.
Nội dung trong WebView
WebView trong một ứng dụng dành riêng cho nền tảng được một trình duyệt hỗ trợ. Nhà phát triển cần kiểm tra xem các hạn chế hoặc vấn đề ảnh hưởng đến ứng dụng của họ có áp dụng cho WebView của ứng dụng.
Android cũng cho phép các ứng dụng dành riêng cho nền tảng của mình đặt cookie trực tiếp bằng cách sử dụng
CookieManager API.
Cũng giống như với cookie được đặt bằng tiêu đề hoặc JavaScript, hãy cân nhắc đưa vào
SameSite=None; Secure
nếu bạn định dùng các giá trị này trên nhiều trang web.
Cách triển khai SameSite
ngay hôm nay
Hãy đánh dấu mọi cookie chỉ cần thiết trong bối cảnh bên thứ nhất là SameSite=Lax
hoặc SameSite=Strict
tuỳ theo nhu cầu của bạn. Nếu bạn không đánh dấu các cookie này
và thay vào đó dựa vào hành vi mặc định của trình duyệt để xử lý chúng, chúng có thể hoạt động
không nhất quán giữa các trình duyệt và có thể kích hoạt cảnh báo trên bảng điều khiển
cookie.
Set-Cookie: first_party_var=value; SameSite=Lax
Hãy nhớ đánh dấu mọi cookie cần thiết trong ngữ cảnh bên thứ ba là
SameSite=None; Secure
. Cả hai thuộc tính đều bắt buộc. Nếu bạn chỉ định
None
không có Secure
, cookie này sẽ bị từ chối. Để tính đến sự khác biệt
trong quá trình triển khai trình duyệt, bạn có thể cần phải sử dụng một số
các chiến lược được mô tả trong phần Xử lý các ứng dụng không tương thích.
Set-Cookie: third_party_var=value; SameSite=None; Secure
Xử lý các ứng dụng không tương thích
Vì những thay đổi này áp dụng cho None
và hành vi mặc định của bản cập nhật vẫn được giữ nguyên
tương đối mới, các trình duyệt khác nhau xử lý chúng theo những cách khác nhau. Bạn có thể tham khảo
vào trang cập nhật trên chromium.org
để xem danh sách các vấn đề đã biết, nhưng đây có thể chưa phải là danh sách đầy đủ.
Một giải pháp khả thi là đặt từng cookie ở cả kiểu mới và kiểu cũ:
Set-cookie: 3pcookie=value; SameSite=None; Secure
Set-cookie: 3pcookie-legacy=value; Secure
Các trình duyệt triển khai hành vi mới sẽ đặt cookie bằng SameSite
giá trị. Những trình duyệt không triển khai hành vi mới sẽ bỏ qua giá trị đó và đặt
cookie 3pcookie-legacy
. Khi xử lý cookie được bao gồm, trang web của bạn phải
trước tiên, hãy kiểm tra sự hiện diện của kiểu cookie mới, sau đó quay lại
cookie cũ nếu không tìm thấy cookie mới.
Ví dụ sau cho thấy cách thực hiện việc này trong Node.js, bằng cách sử dụng Khung biểu diễn và Phần mềm trung gian cookie-parser:
const express = require('express');
const cp = require('cookie-parser');
const app = express();
app.use(cp());
app.get('/set', (req, res) => {
// Set the new style cookie
res.cookie('3pcookie', 'value', { sameSite: 'none', secure: true });
// And set the same value in the legacy cookie
res.cookie('3pcookie-legacy', 'value', { secure: true });
res.end();
});
app.get('/', (req, res) => {
let cookieVal = null;
if (req.cookies['3pcookie']) {
// check the new style cookie first
cookieVal = req.cookies['3pcookie'];
} else if (req.cookies['3pcookie-legacy']) {
// otherwise fall back to the legacy cookie
cookieVal = req.cookies['3pcookie-legacy'];
}
res.end();
});
app.listen(process.env.PORT);
Phương pháp này yêu cầu bạn phải thực hiện thêm thao tác đặt cookie thừa và thay đổi ở thời điểm cài đặt và đọc cookie. Tuy nhiên, áp dụng cho mọi trình duyệt, bất kể hành vi của trình duyệt và giữ lại cookie của bên thứ ba hoạt động.
Thay vào đó, bạn có thể phát hiện ứng dụng bằng cách sử dụng chuỗi tác nhân người dùng khi một
Đã gửi tiêu đề Set-Cookie
. Tham khảo
danh sách ứng dụng không tương thích,
đồng thời sử dụng thư viện phát hiện tác nhân người dùng thích hợp cho nền tảng của bạn, để
ví dụ: thư viện ua-parser-js
trên Node.js. Phương pháp này chỉ yêu cầu bạn thực hiện một thay đổi, nhưng có tác nhân người dùng
có thể không phát hiện được tất cả người dùng bị ảnh hưởng.
Hỗ trợ SameSite=None
bằng các ngôn ngữ, thư viện và khung
Phần lớn các ngôn ngữ và thư viện đều hỗ trợ thuộc tính SameSite
cho
cookie. Tuy nhiên, vì việc thêm SameSite=None
vẫn còn tương đối
gần đây, thì hiện tại bạn có thể cần phải xử lý một số hành vi chuẩn.
Những hành vi này được ghi nhận trong
SameSite
kho lưu trữ mẫu trên GitHub.
Nhận trợ giúp
Cookie được sử dụng ở mọi nơi trên web và điều này hiếm khi xảy ra với bất kỳ nhóm phát triển nào có kiến thức đầy đủ về nơi trang web của họ đặt và sử dụng chúng, đặc biệt là trong các trường hợp sử dụng trên nhiều trang web. Khi bạn gặp phải một vấn đề, đó có thể là lần đầu tiên bất kỳ ai đã gặp phải vấn đề này, vì vậy vui lòng liên hệ:
- Đưa ra vấn đề trong
SameSite
kho lưu trữ mẫu trên GitHub. - Đặt câu hỏi trong "samesite" trên StackOverflow.
- Đối với các vấn đề về hành vi của Chromium, hãy báo cáo lỗi trong Công cụ theo dõi lỗi Chromium.
- Theo dõi tiến trình của Chrome trên
Trang cập nhật
SameSite
.