recientemente Google开发人员宣布了他们的意图 在未来两年内 完全暂停Chrome对第三方Cookie的支持 在访问当前页面域以外的站点时建立,因为这些cookie用于跟踪广告网络,社交媒体窗口小部件和网络分析系统代码中站点之间的用户移动。
这是 与之并驾齐驱的运动 Chromium开发者在其论坛中发出的呼叫,因为他们拥有 打算删除User-Agent标头 以及限制对JavaScript中navigator.userAgent属性的访问。
所有 这是由于“隐私沙箱”计划 目的是在维护用户机密性的需求与对广告网络和网站跟踪访问者偏好的需求之间达成折衷。
到今年年底,处于测试模式 起初, 预计将包含其他API 在浏览器中 衡量转化和个性化 广告 无需使用第三方Cookie。
确定兴趣类别的用户而未做出个人识别且未参考对特定网站的访问历史, 邀请广告网络使用Floc API以及评估广告转换后的用户活动,API转换衡量和分离用户,而无需使用令牌API信任站点之间的标识符。
我们正在整个生态系统中积极工作,以使浏览器,发布者,开发人员和广告商有机会尝试这些新机制,测试它们在各种情况下是否运行良好,并开发支持实施,包括广告定位和评估,拒绝服务预防(DoS),反垃圾邮件/欺诈和联合身份验证。
由W3C组织创建的一个单独的工作组负责在不违反机密性的情况下制定与定向广告的显示有关的规范。
目前,在 保护在CSRF攻击期间防止cookie传输,使用SameSite属性 在Set-Cookie标头中指定,该标头从Chrome 76开始默认设置为“ SameSite = Lax”,它限制了从第三方网站发送Cookie,但是网站可以通过显式设置SameSite = None来消除此限制设置Cookie时。
SameSite属性 可以采用'strict'或'lax'两个值.
- 在“严格”模式下,不会针对任何类型的跨站点请求发送cookie。
- 在“宽松”模式下,应用了更宽松的限制,并且仅针对站点之间的次要请求(例如,通过iframe请求图像或下载内容)阻止cookie的传输。
在下一个版本中 铬80的 (计划于4月XNUMX日) 有限制 更严格 禁止处理第三方Cookie 对于HTTPS以外的请求(属性SameSite = None,只能在安全模式下设置cookie)。
另外, 工具实施工作仍在继续 识别并防止使用秘密识别和跟踪旁路方法(“浏览器指纹”)。
在版本69的Firefox中,默认情况下,所有第三方跟踪系统都会忽略Cookie。
Google认为此封锁是合理的,但它需要对网络生态系统进行初步准备,并提供替代API来解决以前使用第三方Cookie的任务,而又不违反保密性且不损害通过Google资助的网站的获利模型广告展示。
为了响应在没有其他选择的情况下阻止cookie的情况,广告网络没有停止跟踪,而是仅转而使用基于隐藏的用户标识(指纹)的更复杂的方法,或者在广告所在网站的域中为跟踪器创建了单独的子域。被陈列。
数据来源: https://blog.chromium.org