在第三方 Cookie 弃用测试期间,网站和服务务必要为第三方 Cookie 限制做好准备,包括改用更注重隐私保护的替代方案。根据英国竞争和市场管理局在竞争方面的所有剩余疑虑,Chrome 将从 2025 年初起面向所有用户逐步推行第三方 Cookie 限制。
为帮助开发者顺利完成过渡,在此期间,Chrome 还会使用启发法,针对预定义的流程授予对第三方 Cookie 的临时访问权限,以减少服务中断情况。在特定场景下,系统会自动授予访问权限,而无需开发者进行额外的工作,但这只是临时措施,预计启发法将在未来被彻底移除,并且开发者预计会迁移到长期解决方案。
基于启发法的例外情况
启发法要识别的情形主要是身份验证:顶级网站打开一个弹出式窗口,或重定向到第三方网站以执行操作,然后返回该顶级网站,从而在该返回历程中或嵌入式上下文中使用 Cookie。
以下示例说明了浏览器会根据某些置信度信号自动授予第三方 Cookie 访问权限的情形。这些置信度信号主要基于模式,并且依赖于用户互动要求。
场景 A - 弹出式互动后第三方 Cookie 访问
- 用户进入网站 A
- 该用户在拥有 opener 访问权限的弹出式窗口中加载网站 B 上的资源,该窗口可能是在执行一系列 HTTP 重定向后才加载的*。
- 网站 B 上的资源在加载后获得了用户互动。
在此流程结束后的 30 天内,网站 B 嵌入网站 A 时将获得第三方 Cookie 访问权限。
场景 B - 跨重定向互动后访问第三方 Cookie
- 用户从网站 A 开始,然后被重定向到网站 B。
- 网站 B 收到用户互动。
- 然后,网站 B 会重定向回网站 A(可能会通过其他来源)。
在此流程结束后的 15 分钟内,网站 B 在嵌入网站 A 时将获得第三方 Cookie 访问权限。
Cookie 访问权限授权仅适用于第一方网站和第三方网站对。例如,如果第一方网站 a.com 和第三方网站 b.com 符合一个情景,则 b.com 上的任何网页都可以在作为资源或 iframe 加载到 a.com 上的任何网页时访问 Cookie。此授权不适用于 a.com、作为其他顶级域名的第三方资源 b.com 下的其他第三方网站,或具有中间祖先链中的其他跨网站(即不是 a.com 或 b.com)iframe 间接嵌入 a.com 的 b.com。此外,对于由其他跨网站至 b.com 的 iframe 嵌入的 b.com 资源,不应向其授予 Cookie 访问权限。
如需详细了解启发法,请参阅相应的说明。
通过基于启发法的异常演示,您可以测试在采用和不使用启发式算法例外情况的情况下对第三方 Cookie 的访问。