"same-site"nin tanımı URL şemasını içerecek şekilde gelişiyor. Bu nedenle, bir sitenin HTTP ve HTTPS sürümleri arasındaki bağlantılar artık siteler arası istek olarak sayılıyor. Mümkün olduğunda sorunları önlemek için varsayılan olarak HTTPS'ye yükseltin veya hangi SameSite özellik değerlerinin gerekli olduğuyla ilgili ayrıntılar için okumaya devam edin.
Şeffaf Aynı Site bir (web) sitesinin tanımını yalnızca kaydedilebilir alan adından şema + kaydedilebilir alan adı. Daha fazla ayrıntı ve örnek için "Aynı site"yi anlama ve "same-origin"
İyi haber: Web siteniz zaten HTTPS'ye tamamen yükseltildiyse endişelenmenize gerek yok. Sizin için hiçbir şey değişmeyecek.
Web sitenizi henüz tam olarak yükseltmediyseniz, öncelik bu olmalıdır.
Ancak, site ziyaretçilerinizin HTTP ile
HTTPS, ardından bu sık karşılaşılan senaryolardan bazıları ve ilişkili SameSite çerezi
genel hatlarıyla inceledik.
Bu değişiklikleri hem Chrome'da hem de Firefox'ta test etmek için etkinleştirebilirsiniz.
- Chrome 86'da
about://flags/#schemeful-same-sitehizmetini etkinleştirin. İlerleme durumunu izleme Chrome Durumu'nda öğrenin. - Firefox 79'da,
network.cookie.sameSite.schemefulayarını şunun üzerindentrueyapın:about:config. İlerleme durumunu Bugzilla üzerinden takip edin sorun.
SameSite=Lax ürününün varsayılan olarak ayarlanmasının temel nedenlerinden biri,
çerezler, Siteler Arası İstek Sahtekarlığına karşı koruma
(CSRF). Ancak,
güvenli olmayan HTTP trafiği de ağ saldırganlarının saldırıya uğramaması için bir fırsat
Güvenli HTTPS sürümünde kullanılacak olan çerezlerle
girin. Şemalar arasında bu ek siteler arası sınırın oluşturulması,
daha iyi savunmanızı sağlar.
Yaygın şema senaryoları
Gezinme
Bir web sitesinin şemalar arası sürümleri arasında gezinme (örneğin,
http://site.example to https://site.example) önceden
SameSite=Strict çerez gönderilecek. Bu artık siteler arası olarak kabul ediliyor
gezinmesi nedeniyle SameSite=Strict çerez engellenecek.
| HTTP → HTTPS | HTTPS → HTTP | |
SameSite=Strict
|
⛔ Engellendi | ⛔ Engellendi |
SameSite=Lax
|
✓ İzin veriliyor | ✓ İzin veriliyor |
SameSite=None;Secure
|
✓ İzin veriliyor | ⛔ Engellendi |
Alt kaynaklar yükleniyor
Burada yaptığınız değişiklikler, düzeltme sırasında yalnızca geçici bir çözüm olarak kabul edilmelidir. tam HTTPS'ye yükseltme çalışması yapmanız gerekir.
Alt kaynaklara örnek olarak XHR veya Fetch.
Bir sayfada çapraz şema alt kaynağı yüklemek eskiden
Gönderilecek veya ayarlanacak SameSite=Strict ya da SameSite=Lax çerez. Şimdi bu
üçüncü taraf veya siteler arası alt kaynaklarla aynı şekilde ele
tüm SameSite=Strict veya SameSite=Lax çerezlerinin engelleneceği anlamına gelir.
Ayrıca tarayıcı güvenli olmayan şemalardan
bir sayfaya yüklendikten sonra, bu isteklerde tüm çerezler
Üçüncü taraf veya siteler arası çerezler Secure gerektirir.
| HTTP → HTTPS | HTTPS → HTTP | |
SameSite=Strict
|
⛔ Engellendi | ⛔ Engellendi |
SameSite=Lax
|
⛔ Engellendi | ⛔ Engellendi |
SameSite=None;Secure
|
✓ İzin veriliyor | ⛔ Engellendi |
Form YAYINLAMA
Önceden bir web sitesinin şemalar arası sürümleri arasında içerik yayınlamak,
SameSite=Lax veya SameSite=Strict ile ayarlanmış çerezlerin gönderilmesi gerekir. Şimdi bu
siteler arası POST olarak değerlendirilir. Yalnızca SameSite=None çerezleri gönderilebilir.
bu senaryoyla, güvenli olmayan sürümü varsayılan olarak sunan sitelerde görebilirsiniz.
ancak oturum açma veya teslim alma işleminden sonra kullanıcıları güvenli sürüme yükseltme
ödeme formu doldurun.
Alt kaynaklarda olduğu gibi, istek güvenli bir kaynaktan geliyorsa (ör. HTTPS'den bir
güvensiz, ör. HTTP, bağlam söz konusu olduğunda bu isteklerde tüm çerezler engellenir
Üçüncü taraf veya siteler arası çerezler Secure gerektirir.
| HTTP → HTTPS | HTTPS → HTTP | |
SameSite=Strict
|
⛔ Engellendi | ⛔ Engellendi |
SameSite=Lax
|
⛔ Engellendi | ⛔ Engellendi |
SameSite=None;Secure
|
✓ İzin veriliyor | ⛔ Engellendi |
Sitemi nasıl test edebilirim?
Geliştirici araçları ve mesajlaşma, Chrome ve Firefox'ta kullanılabilir.
Chrome 86'dan itibaren Geliştirici Araçları, site haritası sorunlarını içerir. Aşağıdaki sorunların vurgulandığını görebilirsiniz elde etmeye çalışır.
Navigasyon sorunları:
- "Aynı sitede çerezlerin gönderilmeye devam etmesi için tamamen HTTPS'ye geç istekleri": Çerezin gelecekteki bir sürümde engelleneceğini belirten bir uyarı. hoş geldiniz.
- "Aynı site isteklerinde çerezlerin gönderilmesi için tamamen HTTPS'ye taşı": A Çerez engellenmiş olduğuna dair bir uyarı gönderir.
Alt kaynak yükleme sorunları:
- "Çerezleri aynı siteye göndermeye devam etmek için tamamen HTTPS'ye taşı "alt kaynaklar" veya "Çerezlere izin vermeye devam etmek için tamamen HTTPS'ye aynı sitenin alt kaynakları tarafından ayarlanabilir": Çerezin olacağı Chrome'un gelecekteki bir sürümünde engellenmiştir.
- "Çerezlerin aynı sitenin alt kaynaklarına gönderilmesi için tamamen HTTPS'ye taşı" veya "Çerezlerin aynı site tarafından ayarlanmasına izin vermek için tamamen HTTPS'ye taşı subresources"—Çerezin engellendiği ile ilgili uyarılar. İkincisi uyarısı da form YAYINLAYABİLİR.
Şematik için Test ve Hata Ayıklama İpuçları bölümünde daha fazla bilgi edinebilirsiniz. Aynı Site.
Firefox 79'dan ve network.cookie.sameSite.schemeful, şunun üzerinden true olarak ayarlandı:
about:config konsolda, Şemalı Same-Site sorunları için mesaj gösterilir.
Sitenizde şunları görebilirsiniz:
- "
cookie_nameçerezi yakında siteler arası çerez olarak değerlendirilecekhttp://site.example/, çünkü şema eşleşmedi." - "Çerez
cookie_namesiteler arasıhttp://site.example/, çünkü şema eşleşmedi."
SSS
Sitem zaten HTTPS'de tamamen kullanılabilir olduğu halde tarayıcımın Geliştirici Araçları'nda neden sorunlar görüyorum?
Bağlantılarınız ve alt kaynaklarınızdan bazıları hâlâ güvenli olmayan URL'ler.
Bu sorunu düzeltmenin bir yolu da HTTP
Yüksek Düzeyde Aktarım-Güvenlik
(HSTS) ve includeSubDomain yönergesi. HSTS + includeSubDomain ile
Sayfalarınızdan biri yanlışlıkla güvenli olmayan bir bağlantı eklerse, tarayıcı
otomatik olarak güvenli sürümü kullanır.
HTTPS'ye geçemiyorsam ne yapmalıyım?
Sitenizi tamamen HTTPS'ye yükseltmenizi öneririz. Bunu yapamıyorsanız, kullanıcılarınızı korumak için kendi başınıza kontrol ederek bu seçeneği sunup sunamayacaklarını öğrenin. Kendiniz düzenleyen Let's Encrypt, bu tablodaki verileri bir sertifika yükleyip yapılandırabilirsiniz. Sitenizin taşınmasını da araştırabilirsiniz HTTPS bağlantısını sağlayabilen bir CDN veya başka bir proxy'nin arkasında olmalıdır.
Bu mümkün değilse şurada SameSite korumasını gevşetmeyi deneyin:
çerezlerden etkilenmiş olabilir.
- Yalnızca
SameSite=Strictçerezin engellendiği durumlardaLaxkoruma. - Hem
Stricthem deLaxçerezlerinin engellendiği durumlarda veya çerezlerin güvenli bir URL'ye gönderilmesi (veya bu URL'den ayarlanması)Noneiçin koruma.- Bu geçici çözüm, çerezleri gönderdiğiniz URL (veya
güvenli değildir. Bunun nedeni,
SameSite=Noneiçin ÇerezlerdekiSecureözelliği, bu nedenle bu çerezlerin gönderilememesi veya güvenli olmayan bir bağlantı üzerinden ayarlanmış olabilir. Bu durumda, bu çerezi siteniz HTTPS'ye yükseltilene kadar. - Bu yalnızca geçicidir, çünkü nihayetinde üçüncü taraf çerezleri tamamen kullanımdan kaldırıldı.
- Bu geçici çözüm, çerezleri gönderdiğiniz URL (veya
güvenli değildir. Bunun nedeni,
Bir SameSite özelliği belirtmediysem bu durum çerezlerimi nasıl etkiler?
SameSite özelliği olmayan çerezler, belirtilmiş gibi kabul edilir
SameSite=Lax ve aynı şemalar arası davranış bu çerezlerde
olur. Güvenli olmayan yöntemler için geçici istisnanın hâlâ geçerli olduğunu unutmayın.
Chromium'da Lax + POST çözümleri SameSite
SSS sayfasını inceleyebilirsiniz.
WebSocket'ler nasıl etkilenir?
Aynı webSocket bağlantıları aynı site olarak kabul edilir güvenli olduğunu unutmayın.
Aynı site:
https://adlı yerdenwss://aktarmahttp://adlı yerdenws://aktarma
Siteler arası:
http://adlı yerdenwss://aktarmahttps://adlı yerdenws://aktarma
Fotoğrafı çeken: Julissa Kapilla açık Başlangıç