沒有令人毛骨悚然的 Cookie

Cookie 是最新出爐的,所以還有哪些最新食譜可以讓你在不會有過時餅乾的情況下,也能享受陰森的恐怖季節?

餅乾是最新,所以最新的食譜可確保你能 享受陰森氛圍,又不會拿著過時餅乾?

我們近期將逐步淘汰網路上的第三方 Cookie 平台。這對於處理跨網站追蹤來說是個重要里程碑 或許是很漫長的購物歷程之一我們來看看目前的進展和 美味點心正在供貨...

表面上,Cookie 是一種簡單的鍵/值儲存庫,在 瀏覽器和伺服器這樣就能在網站上提供實用功能,例如 正在儲存偏好設定:theme=bats 或儲存已登入帳戶的工作階段 ID 內容。

帶有類似主題 (例如 theme=bats 或 fav_pumpkins=us-nyc) 的第三方 Cookie

如果該 Cookie 同時用於建立該 Cookie 的網站,我們通常會呼叫 第一方 Cookie如果檔案所屬的網站與 也就是第三方 Cookie舉例來說 theme=batsCookie 就是第一方,如果使用者造訪的也是 但包含在 iframe 或其他跨網站資源的一部分 就是第三方 Cookie。

第三方 Cookie 的問題在於,這類 Cookie 可以啟用跨網站 追蹤。比起主題設定,共用服務可能會 儲存完整 ID當您在 瀏覽包含共用服務 Cookie 的不同網站 表示其中一項服務可以觀測及連結你在各網站上的活動。

包含專屬 ID 的第三方 Cookie,可讓第三方網站追蹤使用者的網路活動

預設第一方 Cookie

我們已經有很長的路要走!原來如此 純 Cookie:theme=pumpkins 會在所有情況下傳送,亦即相同網站或 跨網站!大多數網站只希望透過 Cookie 傳送 Cookie 相同的網站內容。您可以透過 SameSite 屬性 Cookie。例如:

Set-Cookie: theme=bats; SameSite=Lax

這樣一來,瀏覽器就只會在資源與 頂層網站然而,這代表網站必須指定 第一方 Cookie這跟你真實一樣,在安全術語的初衷 應該詢問您是否要取得更多權限,而不只是讓使用者 預設值。

現在,SameSite=Lax 是預設值如果剛設定 theme=bats,只有 才會在相同網站的情況下傳送。

預設的 SameSite=Lax 值會停止在第三方環境中傳送 Cookie

如果您想使用跨網站或第三方 Cookie (可能需要 ),您必須指定:

Set-Cookie: theme=bats; SameSite=None; Secure
明確的 SameSite=None 值會標示要在跨網站環境中傳送的 Cookie

讓瀏覽器知道您希望在任何跨網站環境中傳送 Cookie,但 我想將限制設為只限安全連線

即使是再升級的第一方 Cookie

預設智慧程度較高,但你還有改善空間 食譜以下為您簡單介紹:

Set-Cookie:  __Host-theme=bats;
  Secure;
  Path=/;
  HttpOnly;
  Max-Age=7776000;
  SameSite=Lax;

這樣就能取得僅限單一網域使用的第一方 Cookie 安全連線,不允許 JavaScript 存取,會在連線前自動失效 時,經驗值會過時,且 (當然!) 只適用於相同的網站情境。

使用 CHIPS 取得更美味的餅乾!

網路的一大神奇之處,就是可以建立多個網站。 。假設我想建立一個地圖小工具,讓其他網站 南瓜園地之旅或不給糖就搗蛋路線我的服務會使用 Cookie 讓使用者儲存沿途進度。問題在於 並送出去 「不給糖就搗蛋」網站。我不想追蹤網站之間的使用者 瀏覽器只使用一種 cookie — 我們無法將該使用行為區分開來!

有 SameSite=None 的跨網站 Cookie 仍聚集在共用 cookie 中

這時 Cookie 就具有獨立分區狀態 (簡稱 CHIPS) 有別於一個共用餅乾罐 每個頂層網站都有一個分區 Cookie jar 檔案。網站會透過 使用者 Cookie 中的 Partitioned 屬性。

Set-Cookie: __Host-route=123;
  SameSite=None;
  Secure;
  Path=/;
  Partitioned;
Cookie 上的分區屬性會為每個頂層網站建立不同的 Cookie jar 檔案

每個人都有自己專屬的餅乾,不必再與大家分享那樣的餅乾!更簡潔 更安全、更健全

我們已將 Intent 傳送到 運送 適用於 具有獨立分區狀態的 Cookie (CHIPS),也就是說, 已於 12 月推出 Beta 版測試,並於 2023 年 1 月推出穩定版。 所以,如果您想知道新的一年可以改善網站的 Cookie 仔細查看食譜,看看是否能開始將 CHIPS 加入這些 跨網站 Cookie!

使用第一方集合向第三方發出 Cookie

許多開發人員也在撰寫意見時,明確表示 可讓您自行控管的網站 跨網域使用 Cookie,但不得透過真正的第三方傳送 Cookie 定義。舉例來說,假設你有 pretty-pumpkins.compretty-pumpkins.co.uk。您可能在系統上使用 Cookie 式單一登入 使用許多網站CHIPS 也無法運作 就必須使用相同的 Cookie 這些相關的網站

我們正在設計第一方集合提案,希望能達成這個目標。 我們透過 1 項來源試用計劃 並積極參與大量社群討論 為達成以下目標的最新版本:

  • 讓組織定義一組應該含有網站的網站群組 向彼此學習
  • 透過 Storage Access API 要求存取跨網站 Cookie 在這個第一方集合中
第一方集合僅允許在相關網站之間共用 Cookie jar

這些餅乾還是在烤箱中烤出 第一方集合開發人員指南 還有要測試的其他功能 WICG/第一方集合提案 (如果有的話) 您想參與討論。

別讓 Cookie 過期了!

我們的目標是逐步停止支援 Chrome 的第三方 Cookie 到 2024 年中途不間斷雖然有足夠的準備,但建議您現在開始規劃。

  1. 使用 SameSite=None 稽核程式碼,找出任何 Cookie。這些是餅乾 需要更新的內容
  2. 如果沒有任何第三方 Cookie,請確認相同網站 Cookie 目前是否使用最佳第一方 Cookie 食譜
  3. 若您在完整內含的嵌入環境中使用這些 Cookie, 調查及測試 CHIPS 提案
  4. 如需將 Cookie 用於彙整單一群組的網站 然後調查第一方集合 提案
  5. 如果以上任一選項均不適用,您必須 關於其他 Privacy Sandbox 提案 我們正在開發專屬 API,適用於不會仰賴其他個別用途 跨網站追蹤

這只是初步的總覽,我們會持續分享更多最新消息,以及 持續給予指導如有任何疑問、問題或想 分享自己的成果,我們還有各式各樣的路線供您使用 聯絡感情

所以請記得,餅乾可能很美味,但一次只有少數 千萬不要試圖偷走別人!