Kiểm tra xem cookie của bên thứ ba đang được sử dụng trên trang web của bạn hay bởi bên thứ ba mà trang web của bạn dựa vào.
Tìm hiểu về việc sử dụng cookie của bên thứ ba
Cookie được gửi trên nhiều trang web các bối cảnh như iframe hoặc yêu cầu tài nguyên phụ, thường được gọi là cookie của bên thứ ba – ngay cả khi những cookie này không phải của bên thứ ba. Cookie của bên thứ ba có thể là từ một bên thứ ba, chẳng hạn như dịch vụ phân tích hoặc công nghệ quảng cáo, nhưng chúng cũng có thể đến từ một trang web hoặc dịch vụ của chính bạn có miền khác với trang cấp cao nhất, chẳng hạn như máy chủ hình ảnh hoặc trang web nhỏ.
Các trường hợp sử dụng cookie của bên thứ ba bao gồm:
- Nội dung đã nhúng được chia sẻ từ các trang web khác, chẳng hạn như video, bản đồ, đoạn mã mẫu và bài đăng trên mạng xã hội.
- Tiện ích cho các dịch vụ bên ngoài như thanh toán, lịch, đặt chỗ và đặt chỗ.
- Các tiện ích như nút mạng xã hội hoặc dịch vụ chống lừa đảo.
- Các tài nguyên
<img>
hoặc<script>
từ xa dựa vào cookie sẽ được gửi cùng với một yêu cầu (thường dùng để theo dõi pixel và cá nhân hoá nội dung).
Vào năm 2019, các trình duyệt đã thay đổi cách hoạt động của cookie, hạn chế cookie theo mặc định là quyền truy cập của bên thứ nhất.
Hôm nay, mọi cookie được dùng trong bối cảnh trên nhiều trang web đều phải được đặt bằng SameSite=None
.
Set-Cookie: cookie-name=value; SameSite=None; Secure
Tức là cookie của bên thứ ba có thể được xác định bằng thuộc tính SameSite=None
.
Kiểm tra việc sử dụng cookie của bên thứ ba
Bạn nên tìm kiếm mã trong các trường hợp mà bạn đặt thuộc tính cookie SameSite
thành None
. Nếu bạn từng thay đổi SameSite=None
vào cookie vào khoảng năm 2020, thì những thay đổi đó có thể là một khởi đầu tốt.
Nếu bạn thấy cookie được đánh dấu là SameSite=None
có vẻ như không được dùng trong ngữ cảnh nhiều trang web, hãy kiểm tra xem có phải bạn cố ý không, vì các cookie này có thể được dùng trong ngữ cảnh trên nhiều trang web ở nơi khác. Nếu không, SameSite=None
có thể đã vô tình được thiết lập và bạn nên xoá mọi hoạt động sử dụng SameSite=None
không cần thiết.
Cookie được phân vùng (những cookie được đặt bằng thuộc tính Partitioned
) sẽ tiếp tục được phân phối ngay cả khi cookie của bên thứ ba bị hạn chế trên các trình duyệt hỗ trợ thuộc tính này.
Công cụ của Chrome cho nhà phát triển
Bảng điều khiển Mạng Chrome Công cụ cho nhà phát triển hiển thị các cookie được đặt và gửi theo yêu cầu. Trong bảng điều khiển Application (Ứng dụng), bạn có thể thấy tiêu đề Cookie trong phần Bộ nhớ. Bạn có thể duyệt qua các cookie được lưu trữ cho từng trang web được truy cập như một phần trong quá trình tải trang. Bạn có thể sắp xếp theo cột SameSite
để nhóm tất cả cookie None
.
Từ Chrome 118, thẻ Vấn đề về công cụ cho nhà phát triển cho thấy vấn đề về thay đổi có thể gây lỗi, "Cookie được gửi trong bối cảnh nhiều trang web sẽ bị chặn trong các phiên bản Chrome sau này". Vấn đề này liệt kê các cookie có thể bị ảnh hưởng trên trang hiện tại.
Công cụ phân tích Hộp cát về quyền riêng tư
Chúng tôi cũng xây dựng Công cụ phân tích Hộp cát về quyền riêng tư (PSAT), một tiện ích của Công cụ cho nhà phát triển để hỗ trợ việc phân tích việc sử dụng cookie trong các phiên duyệt web. Trang này cung cấp các lộ trình gỡ lỗi cho cookie và các tính năng Hộp cát về quyền riêng tư, cùng các điểm truy cập để tìm hiểu thêm về sáng kiến Hộp cát về quyền riêng tư.
Tiện ích này bổ sung cho Công cụ cho nhà phát triển các tính năng chuyên biệt để phân tích và gỡ lỗi các tình huống liên quan đến việc sử dụng cookie của bên thứ ba, cũng như việc áp dụng các giải pháp thay thế mới giúp bảo đảm quyền riêng tư.
Bạn có thể tải tiện ích này xuống từ Cửa hàng Chrome trực tuyến hoặc truy cập vào kho lưu trữ PSAT và wiki.
Trao đổi với nhà cung cấp dịch vụ bên thứ ba
Nếu xác định cookie do bên thứ ba đặt, bạn nên kiểm tra với các nhà cung cấp đó để xem liệu họ có dự định ngừng đặt cookie trên nhiều trang web hay không. Có thể bạn cần phải nâng cấp phiên bản thư viện đang sử dụng, thay đổi tuỳ chọn cấu hình trong dịch vụ hoặc không thực hiện hành động nào nếu bên thứ ba tự xử lý các thay đổi cần thiết.
Cải thiện cookie của bên thứ nhất
Nếu cookie của bạn không bao giờ được sử dụng trên trang web của bên thứ ba, ví dụ: nếu bạn đã đặt một cookie để quản lý phiên trên trang web của mình và cookie này không bao giờ được dùng trong iframe trên nhiều trang web, thì bạn phải đánh dấu rõ ràng cookie là SameSite=Lax
hoặc SameSite=Strict
. Có một số giá trị mặc định hợp lý khác để sử dụng cho cookie của bên thứ nhất. Để biết thêm thông tin, hãy xem bài viết Công thức nấu ăn cho cookie của bên thứ nhất.