Google Chrome
Google已宣布引入Chrome的未来更改,旨在改善隐私。 第一 部分变化 指的是cookie的处理和SameSite属性的支持。
从Chrome 76版本开始 (预计在XNUMX月), 品牌“默认站点相同的cookie”将被激活 也就是说,如果Set-Cookie标头中没有SameSite属性,则默认情况下将设置值“ SameSite = Lax”,这将限制cookie的发送。
对于第三方网站插入(但网站仍然可以删除限制,显然是通过在设置Cookie时设置SameSite = None来实现)。
属性 SameSite允许Web浏览器 (铬合金) 确定可接受cookie传输的情况 当请求来自第三方站点时。
当前,即使最初打开了另一个站点并且通过下载图像或使用iframe间接进行了调用,浏览器也会根据任何请求将Cookies发送到设置了cookie的站点。
关于SameSite
广告网络使用此功能来跟踪 用户在站点之间的移动 和攻击者组织CSRF攻击(打开由攻击者控制的资源时,请求会从其页面隐藏到另一个对当前用户进行身份验证的站点,并且用户的浏览器会为该请求设置会话cookie。)
另一方面,将cookie发送到第三方站点的功能用于在页面上插入小部件,例如,与YouTube或Facebook集成。
通过使用SameSite属性,您可以控制设置Cookie时的行为 并仅响应从最初接收这些Cookie的网站发起的请求发送cookie。
SameSite可以采用三个值``严格'',``松散''和``无''。
在严格模式下 (“严格的”)不会针对任何类型的跨站点请求(包括来自外部站点的所有入站链接)发送Cookie。
在模式下 “宽松”: 应用了更宽松的限制,并且仅针对跨站点请求(例如,图像请求或通过iframe下载的内容)阻止cookie传输。
当遵循链接时,“严格”和“宽松”之间的区别归结为阻止cookie。
其他变化
在将来的Chrome版本中,预计还会有其他更改, 计划应用严格的限制,禁止处理第三方Cookie 对于没有HTTPS的请求(属性SameSite = None,只能在安全模式下设置cookie)。
此外,已计划进行工作以防止使用浏览器指纹,包括基于间接数据(例如屏幕分辨率),所支持的MIME类型的列表,标头(HTTP / 2和HTTPS)中的特定参数,分析之类的间接数据生成标识符的方法。插件和已安装的字体。
以及某些Web API的可用性,使用WebGL和Canvas的视频卡特定的呈现功能,CSS操纵,鼠标和键盘特性分析。
此外,Chrome可以防止与之相关的虐待 返回原始页面的困难 切换到另一个站点(针对在页面之间重定向您的站点的良好实现)之后。
我们正在谈论通过一系列自动重定向使转换历史记录饱和或在浏览历史记录中人为添加虚假条目(通过pushState)的做法,因此用户无法使用“返回”按钮返回。随机过渡或强制转发到欺诈网站后的原始页面。
为了防止此类操作, 后退按钮处理程序中的Chrome将跳过与自动转发和访问历史记录操纵相关的日志,仅使用明确的用户操作打开页面。
数据来源: https://blog.chromium.org/
Cookie究竟是如何设置的?