第三方 Cookie 有許多用途,但也是跨網站追蹤的重要助力。自 2024 年第 1 季起,Chrome 已為 1% 的使用者限制第三方 Cookie 以用於測試,並計劃從 2025 年第 1 季起逐步淘汰第三方 Cookie,解決 2025 年初,其餘使用者對第三方 Cookie 的期望,以解決英國競爭與市場管理局 (CMA) 其餘的競爭問題。
本頁面提供過去仰賴第三方 Cookie 的嵌入式情境適用的隱私權保護解決方案,以及有助於您選擇最符合需求的解決方案的策略。
內嵌服務或嵌入內容包括第三方內容 (例如影片、地圖)、互動元件 (例如即時通訊、評論系統或付款服務)、登入服務等。
從第三方 Cookie 轉換到第三方 Cookie 的作業,大多都需要透過嵌入式開發人員完成,而非代管嵌入的網站。本指南主要討論的是建立嵌入式服務的開發人員適用的解決方案。
如果你的網站仰賴使用第三方 Cookie 的嵌入功能,請務必稽核及測試嵌入相關歷程,如果發現任何中斷情形,請洽詢嵌入供應商。
稽核及測試與嵌入相關的使用者歷程
如要判斷您的嵌入是否會受到第三方 Cookie 淘汰的影響,最好的方法是測試啟用第三方 Cookie 逐步淘汰測試標記的第三方嵌入使用者流程。
限制第三方 Cookie 後,請測試下列常見的嵌入情況:
- 即時通訊小工具:您可以發起即時通訊工作階段嗎?是否可以重新整理頁面,而不會遺失工作階段?能否瀏覽其他網頁並維持工作階段?
- 內容嵌入:你可以觀看影片內容或其他嵌入的內容嗎?語言或字幕等使用者偏好設定是否維持不變?廣告是否在預期時間內 (例如未將你列為付費訂閱者) 看見廣告?
- 登入:登入功能 (包括任何單一登入 (SSO) 登入) 是否適合支援這類登入作業的嵌入功能?使用者是否因為重新載入網頁,以及瀏覽使用相同嵌入的網頁都會持續瀏覽?
- 留言小工具:你可以留下留言、對留言表示喜歡或對留言表示認同嗎?
- 嵌入式付款解決方案:您是否能順利完成付款?
在後續章節中,您將進一步瞭解這些流程可能受到哪些影響。
常見用途
許多傳統上都必須仰賴第三方 Cookie 的嵌入式 API 可在許多情況下使用。下表列舉了一些常見工作流程和建議使用的 API,可做為基本摘要使用。下列各節將說明這些建議採用的原因。
| 使用案例 | 適用於第三方 Cookie 的推薦 API |
|---|---|
| 即時通訊小工具 | 方塊 |
| 地圖嵌入項目 | 方塊 |
| 針對不受信任的使用者內容建立沙箱網域 (例如 googleusercontent.com 和 githubusercontent.com),這類網域需要根據個別發布商設定狀態。 |
方塊 |
| 需要依發布商設定狀態的內嵌廣告 | 方塊 |
| 透過識別資訊提供者登入 | FedCM |
| 嵌入由不同來源代管的影片。 | Storage Access API 搭配相關網站集 |
| 符合登入製偏好設定的內容嵌入 (例如不含廣告的影片內容,或是語言/字幕偏好設定) |
Storage Access API |
| 必須登入的社群媒體留言小工具 | Storage Access API |
選擇用於嵌入第三方用途的 API
本節將逐步說明如何選擇合適的替代 API,以及建議的 API。
以下流程圖可協助您選擇可用的選項:
流程圖會詢問三個主要問題,我們會詳細說明這些問題,並探討在各種情況下建議使用特定 API 的原因。
1. 是否屬於嵌入網站專用的 Cookie?
許多第三方嵌入內容分別用於完全無關的網站上。舉例來說,客戶支援的即時通訊小工具通常需要 Cookie 才能運作,但如果您有兩個完全不同的組織,而且它們使用同一個即時通訊小工具解決方案,就不必共用這些 Cookie。實際上,在許多這類情況下,偏好設定根本不允許分享 Cookie。
如果你向其他網站提供第三方嵌入服務,而該服務需要使用 Cookie,請考慮網站所嵌入的服務是否屬於特定服務的 Cookie。在其他網站上嵌入的內容是否存有對方?
如果不需要共用 Cookie,最簡單的方法就是使用 CHIPS 將 Cookie 分區。這個 API 會將第三方 Cookie 與頂層網站建立關聯,而非允許所有使用相同第三方嵌入的網站共用第三方 Cookie。CHIPS 很容易導入,因為只需要在現有的 Cookie 中加入額外的 Partitioned 屬性。如此一來,嵌入的服務仍可儲存狀態,但移除允許跨網站追蹤的共用跨網站儲存空間。
此外,網站也應檢查 Cookie 的使用方式是否正確。Cookie 只有在已設定或需要與 HTTP 要求一併傳送時才能使用。如果沒有,而且只是將 Cookie 做為便利的儲存選項使用,則您應考慮改用各種儲存空間 API。這樣即使不需要傳送資料,也能將本機資料保留在本機。Storage API 已在所有主要瀏覽器中進行分區,做法與 CHIPS 分區 Cookie 類似。
2. 是否使用第三方識別資訊提供者的 Cookie?
嵌入第三方 Cookie 的常見用途之一,就是提供由第三方登入服務供應商管理的登入功能,例如使用 Google 帳戶登入。但屬於不適用分區 Cookie。
Federated Credential Management (FedCM) 是專為這個用途打造的專用 API,可在沒有第三方 Cookie 的情況下運作。如果識別資訊提供者支援 FedCM,可能會移除第三方 Cookie 的必要性。
如要進一步瞭解如何處理逐步淘汰第三方 Cookie 對登入工作流程的影響,請參閱身分指南。
3. Cookie 是否用於少數的相關網站?
如果上述方法都無法取代 Cookie,您就必須重新啟用第三方 Cookie 存取嵌入功能。您可以利用 Storage Access API,在受到控管的特定用途中啟用此功能。這個 API 會重新啟用完整的第三方 Cookie 存取權 (視控制設定而定),因此是最有效的選項。因此我們建議,如果更嚴格的替代方案可滿足其他條件,請不用擔心。
使用 Storage Access API 有一些需求條件:
- 使用者必須先前曾在頂層造訪嵌入的網站。舉例來說,如果嵌入了評論系統,使用者就必須造訪該評論系統的網站。
- 使用者需要與嵌入互動,才能共用 Cookie。因此可能無法在使用者互動之前載入完整的嵌入內容。
- 使用者可能需要核准透過瀏覽器彈出式視窗共用 Cookie,特別是第一次和之後定期這麼做。
- 嵌入網站可能還需要設定額外的沙箱屬性。
這些限制可確保重新啟用第三方 Cookie 的過程僅在使用者和網站預期的情況下執行。不過在某些情況下,系統可能會略過使用者動作。舉例來說,如果使用者最近核准存取,系統就不一定會在一段時間內 (根據瀏覽器定義) 重新提示使用者。
使用者可能會預期上述情況,但適用於相關網站。舉例來說,部分組織會使用多個不同的來源,瀏覽器將跨網站視為跨網站,因此系統會將這些組織的 Cookie 使用視為第三方。例如擁有特定國家/地區的品牌網站 (例如 example.com 和 example.co.uk) 或品牌專屬網站 (例如 example.car 和 example.house)。
在這種情況下,如果有少量的相關網站,可以使用相關網站集。網站會提交至 Chrome,讓 Chrome 知道兩者之間有關聯。這樣一來,您就能以較容易使用的方式存取 Storage Access API,並減少使用者提示。
針對實際上屬於第三方的不相關網站,且需要完整的第三方 Cookie 存取權 (因為替代 API 不足) 時,使用 Storage Access API 必須遵守完整規定和提示。
各種 API 的比較
每項解決方案的特性和限制都稍有不同,因此在特定使用情境中更適合您。下表摘要列出主要差異:
| 方塊 | 分區儲存空間 | FedCM | Storage Access API 搭配相關網站集 | Storage Access API | |
|---|---|---|---|---|---|
| 使用者不必曾以頂層網站的形式存取嵌入方 | |||||
| 不需要使用者提示即可核准 | |||||
| 不需要使用者與內嵌內容互動 | (對於具有頂層存取權的嵌入式網站也適用此情況)。 |
||||
| 投入的心力 | 非常低 | 低 | 高 | 中 | 中 |
| 可用於在多個頂層網站/來源之間共用 Cookie | (提案發生意願低落。) |
||||
| 適用於非 Chromium 瀏覽器 | (已淘汰 Storage Access API)。 |
支援不同瀏覽器的用途
如表格最後一行所述,瀏覽器相容性是決定解決方案的主因之一。部分 API (CHIPS、FedCM、相關網站集) 僅適用於 Chromium 瀏覽器。目前,只有兩個跨瀏覽器解決方案是分區儲存 API (不需要 Cookie 時) 或 Storage Access API (需要 Cookie)。
不過,如前所述,Storage Access API 有一些限制可能會影響網站上的使用者體驗。Chrome 團隊致力於新增其他 API,專為滿足特定用途而設計,並提供與第三方 Cookie 類似的體驗。因此,建議您考量最佳選項,並將其視為漸進式強化,並為不支援瀏覽器使用 Storage Access API 的備用方案。
Cookie 可能會因為一些原因 (例如瀏覽器設定、擴充功能) 而遭到封鎖,因此功能偵測 API 支援可能並不足夠。因此,建議您測試預期的 Cookie 是否存在,如果不改用 Storage Access API 工作流程要求第三方 Cookie 存取權。
請立即採取行動!
如果第三方嵌入內容在未使用第三方 Cookie 的情況下無法運作,目前市面上有許多解決方案可解決可能造成的影響。建議您現在稽核您的服務,並為第三方 Cookie 的淘汰作業做好準備現在!
當 Chrome 正在測試移除第三方 Cookie 時,如果嵌入網站無法正常顯示嵌入內容,以下提供了一些短期的解決方法,協助您遷移至本文所述的替代方案。詳情請參閱「保護重要使用者體驗」說明文件。
如果您對本指南未涵蓋的第三方嵌入用途有任何疑問,可以前往開發人員支援存放區,使用「第三方 Cookie 淘汰」代碼回報新問題。