SameSite Cookie 说明

Rowan Merewood

每个 Cookie 都包含一个键值对，以及一些用于控制 Cookie 的使用时间和地点的属性。

SameSite 属性（在 RFC6265bis 中定义）的引入让您可以声明 Cookie 是否仅限于第一方或同一网站情境。了解“网站”在这里的确切含义很有帮助。 网站是域名后缀与域名前缀部分的组合。例如，www.web.dev 网域属于 web.dev 网站。

关键字：如果用户位于 www.web.dev 并从 static.web.dev 请求图片，则属于同一网站请求。

公共后缀列表定义了哪些网页属于同一网站。它不仅取决于 .com 等顶级域名，还可能包括 github.io 等服务。这样，your-project.github.io 和 my-project.github.io 就会被计为不同的网站。

关键字：如果用户位于 your-project.github.io 并向 my-project.github.io 请求图片，则属于跨网站请求。

使用 SameSite 属性声明 Cookie 用途

Cookie 上的 SameSite 属性提供了三种不同的方式来控制此行为。您可以选择不指定该属性，也可以使用 Strict 或 Lax 将 cookie 限制为同站点请求。

如果您将 SameSite 设置为 Strict，则 Cookie 只能在第一方环境中发送；也就是说，Cookie 的网站必须与浏览器地址栏中显示的网站一致。因此，如果 promo_shown Cookie 设置如下：

Set-Cookie: promo_shown=1; SameSite=Strict

当用户访问您的网站时，系统会按预期随请求一起发送 Cookie。不过，如果用户通过其他网站中的链接进入您的网站，系统不会在该初始请求中发送 Cookie。这对于与始终位于初始导航后面的功能（例如更改密码或进行购买）相关的 Cookie 非常有用，但对于 promo_shown 等 Cookie 来说过于限制。如果读者点击链接进入网站，他们希望系统发送 Cookie，以便应用他们的偏好设置。

SameSite=Lax 允许浏览器通过这些顶级导航发送 Cookie。例如，如果其他网站引用了您网站的内容（在本例中，是使用您的猫咪照片并提供指向您文章的链接），如下所示：

<p>Look at this amazing cat!</p>
<img src="https://blog.example/blog/img/amazing-cat.png" />
<p>Read the <a href="https://blog.example/blog/cat.html">article</a>.</p>

将 Cookie 设置为 Lax，如下所示：

Set-Cookie: promo_shown=1; SameSite=Lax

当浏览器为对方的博客请求 amazing-cat.png 时，您的网站不会发送该 Cookie。不过，当读者点击您网站上指向 cat.html 的链接时，该请求确实会包含 Cookie。

我们建议您以这种方式使用 SameSite，将影响网站显示的 Cookie 设置为 Lax，将与用户操作相关的 Cookie 设置为 Strict。

您还可以将 SameSite 设置为 None，以指明您希望在所有上下文中发送 Cookie。如果您提供其他网站使用的服务（例如 widget、嵌入内容、联属营销计划、广告或跨多个网站登录），请使用 None 确保您的 intent 清晰明确。

不使用 SameSite 时的默认行为变更

SameSite 属性广受支持，但尚未被广泛采用。过去，如果未设置 SameSite，则默认会在所有上下文中发送 Cookie，这会使用户容易受到 CSRF 攻击和无意中的信息泄露。为了鼓励开发者声明其意图并为用户提供更安全的体验，IETF 提案“逐步改进 Cookie”列出了两项关键变更：

• 没有 SameSite 属性的 Cookie 被视为 SameSite=Lax。
• 带有 SameSite=None 的 Cookie 还必须指定 Secure，这意味着它们需要安全的上下文。

这两项更改都向后兼容正确实现了旧版 SameSite 属性的浏览器，以及不支持旧版 SameSite 的浏览器。它们旨在通过明确 Cookie 行为和预期用途，减少开发者对浏览器默认行为的依赖。任何不识别 SameSite=None 的客户端都应忽略它。

默认情况下为 SameSite=Lax

如果您发送 Cookie 时未指定其 SameSite 属性，浏览器会将该 Cookie 视为设置为 SameSite=Lax。我们仍建议您明确设置 SameSite=Lax，以便在不同浏览器中提供更一致的用户体验。

SameSite=None 必须是安全的

使用 SameSite=None 创建跨网站 Cookie 时，您还必须将其设置为 Secure，以便浏览器接受它们：

Set-Cookie: widget_session=abc123; SameSite=None; Secure

从 Chrome 76 开始，您可以通过启用 about://flags/#cookies-without-same-site-must-be-secure 来测试此行为；从 Firefox 69 开始，您可以在 about:config 中设置 network.cookie.sameSite.noneRequiresSecure 来测试此行为。

我们还建议您尽快将现有 Cookie 更新为 Secure。 如果您依赖于在您的网站上提供第三方内容的服务，请确保您的服务提供商更新其 Cookie，并更新您网站上的所有代码段或依赖项，以确保网站使用新行为。

SameSite Cookie 食谱

如需详细了解如何更新 Cookie 以成功处理对 SameSite=None 的这些更改以及浏览器行为差异，请参阅后续文章 SameSite Cookie 食谱。

非常感谢 Lily Chen、Malte Ubl、Mike West、Rob Dodson、Tom Steiner 和 Vivek Sekhar 提供的贡献和反馈。

Cookie 主打图片：Unsplash 上的 Pille-Riin Priske