Công thức bánh quy SameSite

Chrome, Firefox, Edge, và những tổ chức khác đang thay đổi hành vi mặc định cho phù hợp với IETF đề xuất, Cookie tốt hơn sao cho:

  • Những cookie không có thuộc tính SameSite sẽ được coi là SameSite=Lax, nghĩa là hành vi mặc định là hạn chế cookie cho bên thứ nhất bối cảnh chỉ.
  • Cookie để sử dụng trên nhiều trang web phải chỉ định SameSite=None; Secure để cho phép đưa vào ngữ cảnh của bên thứ ba.

Nếu chưa thực hiện, bạn nên cập nhật các thuộc tính cho để không bị chặn trong tương lai.

Hỗ trợ trình duyệt

  • Chrome: 51.
  • Cạnh: 16.
  • Firefox: 60.
  • Safari: 13.

Nguồn

Các trường hợp sử dụng cookie của nhiều trang web hoặc bên thứ ba

Có một số trường hợp sử dụng và mẫu phổ biến mà cookie cần được được gửi trong ngữ cảnh bên thứ ba. Nếu bạn cung cấp hoặc phụ thuộc vào một trong những việc sử dụng này hãy đảm bảo rằng bạn hoặc nhà cung cấp đang cập nhật cookie của họ thành giúp dịch vụ hoạt động chính xác.

Nội dung trong một <iframe>

Nội dung trên một trang web khác xuất hiện trong <iframe> lại thuộc về bên thứ ba ngữ cảnh. Các trường hợp sử dụng tiêu chuẩn bao gồm:

  • Nội dung đã nhúng được chia sẻ từ các trang web khác, chẳng hạn như video, bản đồ, mã mẫu, và bài đăng trên mạng xã hội.
  • Các tiện ích cho dịch vụ bên ngoài như thanh toán, lịch, đặt chỗ và các tính năng đặt trước.
  • Những tiện ích như nút mạng xã hội hoặc dịch vụ chống lừa đảo có thể tạo ra những thông tin ít rõ ràng hơn <iframes>.

Cookie có thể được sử dụng tại đây để, ngoài các mục đích khác, duy trì trạng thái phiên, lưu trữ tuỳ chọn chung, bật số liệu thống kê hoặc cá nhân hoá nội dung cho người dùng với tài khoản hiện có.

Sơ đồ về một cửa sổ trình duyệt trong đó URL của nội dung được nhúng không khớp với URL của trang.
Nếu nội dung được nhúng không đến từ cùng một trang web với nội dung cấp cao nhất ngữ cảnh duyệt web, đó là nội dung của bên thứ ba.

Vì web vốn có thể kết hợp, nên <iframes> cũng được dùng để nhúng được xem trong ngữ cảnh cấp cao nhất hoặc bên thứ nhất. Mọi cookie mà trang web hiển thị trong iframe được coi là cookie của bên thứ ba. Nếu bạn tạo trang web mà bạn muốn các trang web khác nhúng và cần cookie để tạo các trang web đó bạn cũng cần phải đảm bảo những URL đó được đánh dấu để sử dụng trên nhiều trang web hoặc có thể quay lại dễ dàng nếu không có họ.

"Không an toàn" yêu cầu trên các trang web

"Không an toàn" có vẻ đáng lo ngại ở đây, nhưng nó đề cập đến mọi yêu cầu có thể nhằm thay đổi trạng thái. Trên web, chủ yếu là các yêu cầu POST. Bánh quy được đánh dấu là SameSite=Lax sẽ được gửi trong lần điều hướng cấp cao nhất an toàn, chẳng hạn như nhấp vào để chuyển đến một trang web khác. Tuy nhiên, chẳng hạn như việc gửi <form> để một trang web khác sử dụng phương thức POST sẽ không bao gồm cookie.

Sơ đồ về việc di chuyển yêu cầu từ trang này sang trang khác.
Nếu yêu cầu đến sử dụng giá trị "an toàn" thì trang sẽ gửi cookie.

Mẫu này dùng cho các trang web có thể chuyển hướng người dùng đến một điều khiển từ xa dịch vụ để thực hiện một số thao tác trước khi quay lại, ví dụ: chuyển hướng đến nhà cung cấp danh tính bên thứ ba. Trước khi người dùng rời khỏi trang web, cookie sẽ được tập hợp chứa một mã thông báo sử dụng với kỳ vọng rằng mã thông báo này có thể được kiểm tra trên yêu cầu trả lại hàng để giảm thiểu Giả mạo yêu cầu trên nhiều trang web (CSRF) cuộc tấn công. Nếu yêu cầu trả lại hàng được thực hiện qua POST, bạn cần phải đánh dấu dưới dạng SameSite=None; Secure.

Tài nguyên từ xa

Mọi tài nguyên từ xa trên một trang, chẳng hạn như từ thẻ <img> hoặc thẻ <script>, có thể dựa vào cookie được gửi cùng với một yêu cầu. Các trường hợp sử dụng phổ biến bao gồm theo dõi pixel và cá nhân hoá nội dung.

Điều này cũng áp dụng cho các yêu cầu được gửi từ JavaScript bằng cách sử dụng fetch hoặc XMLHttpRequest. Nếu fetch() được gọi bằng phương thức Lựa chọn credentials: 'include', những yêu cầu đó có thể bao gồm cookie. Đối với XMLHttpRequest, cookie dự kiến thường được biểu thị bằng một Giá trị withCredentials cho true. Những cookie này phải được đánh dấu phù hợp để được đưa vào yêu cầu trên nhiều trang web.

Nội dung trong WebView

WebView trong một ứng dụng dành riêng cho nền tảng được một trình duyệt hỗ trợ. Nhà phát triển cần kiểm tra xem các hạn chế hoặc vấn đề ảnh hưởng đến ứng dụng của họ có áp dụng cho WebView của ứng dụng.

Android cũng cho phép các ứng dụng dành riêng cho nền tảng của mình đặt cookie trực tiếp bằng cách sử dụng CookieManager API. Cũng giống như với cookie được đặt bằng tiêu đề hoặc JavaScript, hãy cân nhắc đưa vào SameSite=None; Secure nếu bạn định dùng các giá trị này trên nhiều trang web.

Cách triển khai SameSite ngay hôm nay

Hãy đánh dấu mọi cookie chỉ cần thiết trong bối cảnh bên thứ nhất là SameSite=Lax hoặc SameSite=Strict tuỳ theo nhu cầu của bạn. Nếu bạn không đánh dấu các cookie này và thay vào đó dựa vào hành vi mặc định của trình duyệt để xử lý chúng, chúng có thể hoạt động không nhất quán giữa các trình duyệt và có thể kích hoạt cảnh báo trên bảng điều khiển cookie.

Set-Cookie: first_party_var=value; SameSite=Lax

Hãy nhớ đánh dấu mọi cookie cần thiết trong ngữ cảnh bên thứ ba là SameSite=None; Secure. Cả hai thuộc tính đều bắt buộc. Nếu bạn chỉ định None không có Secure, cookie này sẽ bị từ chối. Để tính đến sự khác biệt trong quá trình triển khai trình duyệt, bạn có thể cần phải sử dụng một số các chiến lược được mô tả trong phần Xử lý các ứng dụng không tương thích.

Set-Cookie: third_party_var=value; SameSite=None; Secure

Xử lý các ứng dụng không tương thích

Vì những thay đổi này áp dụng cho None và hành vi mặc định của bản cập nhật vẫn được giữ nguyên tương đối mới, các trình duyệt khác nhau xử lý chúng theo những cách khác nhau. Bạn có thể tham khảo vào trang cập nhật trên chromium.org để xem danh sách các vấn đề đã biết, nhưng đây có thể chưa phải là danh sách đầy đủ.

Một giải pháp khả thi là đặt từng cookie ở cả kiểu mới và kiểu cũ:

Set-cookie: 3pcookie=value; SameSite=None; Secure
Set-cookie: 3pcookie-legacy=value; Secure

Các trình duyệt triển khai hành vi mới sẽ đặt cookie bằng SameSite giá trị. Những trình duyệt không triển khai hành vi mới sẽ bỏ qua giá trị đó và đặt cookie 3pcookie-legacy. Khi xử lý cookie được bao gồm, trang web của bạn phải trước tiên, hãy kiểm tra sự hiện diện của kiểu cookie mới, sau đó quay lại cookie cũ nếu không tìm thấy cookie mới.

Ví dụ sau cho thấy cách thực hiện việc này trong Node.js, bằng cách sử dụng Khung biểu diễn và Phần mềm trung gian cookie-parser:

const express = require('express');
const cp = require('cookie-parser');
const app = express();
app.use(cp());

app.get('/set', (req, res) => {
  // Set the new style cookie
  res.cookie('3pcookie', 'value', { sameSite: 'none', secure: true });
  // And set the same value in the legacy cookie
  res.cookie('3pcookie-legacy', 'value', { secure: true });
  res.end();
});

app.get('/', (req, res) => {
  let cookieVal = null;

  if (req.cookies['3pcookie']) {
    // check the new style cookie first
    cookieVal = req.cookies['3pcookie'];
  } else if (req.cookies['3pcookie-legacy']) {
    // otherwise fall back to the legacy cookie
    cookieVal = req.cookies['3pcookie-legacy'];
  }

  res.end();
});

app.listen(process.env.PORT);

Phương pháp này yêu cầu bạn phải thực hiện thêm thao tác đặt cookie thừa và thay đổi ở thời điểm cài đặt và đọc cookie. Tuy nhiên, áp dụng cho mọi trình duyệt, bất kể hành vi của trình duyệt và giữ lại cookie của bên thứ ba hoạt động.

Thay vào đó, bạn có thể phát hiện ứng dụng bằng cách sử dụng chuỗi tác nhân người dùng khi một Đã gửi tiêu đề Set-Cookie. Tham khảo danh sách ứng dụng không tương thích, đồng thời sử dụng thư viện phát hiện tác nhân người dùng thích hợp cho nền tảng của bạn, để ví dụ: thư viện ua-parser-js trên Node.js. Phương pháp này chỉ yêu cầu bạn thực hiện một thay đổi, nhưng có tác nhân người dùng có thể không phát hiện được tất cả người dùng bị ảnh hưởng.

Hỗ trợ SameSite=None bằng các ngôn ngữ, thư viện và khung

Phần lớn các ngôn ngữ và thư viện đều hỗ trợ thuộc tính SameSite cho cookie. Tuy nhiên, vì việc thêm SameSite=None vẫn còn tương đối gần đây, thì hiện tại bạn có thể cần phải xử lý một số hành vi chuẩn. Những hành vi này được ghi nhận trong SameSite kho lưu trữ mẫu trên GitHub.

Nhận trợ giúp

Cookie được sử dụng ở mọi nơi trên web và điều này hiếm khi xảy ra với bất kỳ nhóm phát triển nào có kiến thức đầy đủ về nơi trang web của họ đặt và sử dụng chúng, đặc biệt là trong các trường hợp sử dụng trên nhiều trang web. Khi bạn gặp phải một vấn đề, đó có thể là lần đầu tiên bất kỳ ai đã gặp phải vấn đề này, vì vậy vui lòng liên hệ: