Google已宣布引入Chrome的未來更改,旨在改善隱私。 第一個 部分變化 指的是cookie的處理和SameSite屬性的支持。
從Chrome 76版本開始 (預計在XNUMX月), 品牌“默認站點相同的cookie”將被激活 也就是說,如果Set-Cookie標頭中沒有SameSite屬性,則默認情況下將設置值“ SameSite = Lax”,這將限制cookie的發送。
對於第三方網站插入(但網站仍然可以刪除限制,顯然是通過在設置Cookie時設置SameSite = None來實現)。
屬性 SameSite允許Web瀏覽器 (鉻合金) 確定可接受cookie傳輸的情況 當請求來自第三方站點時。
當前,即使最初打開了另一個站點,並且通過下載圖像或使用iframe間接進行了調用,瀏覽器也會根據任何請求向設置了cookie的站點發送cookie。
關於SameSite
廣告網絡使用此功能來跟踪 用戶在站點之間的移動 和攻擊者組織CSRF攻擊(打開由攻擊者控制的資源時,請求會從其頁面隱藏到另一個對當前用戶進行身份驗證的站點,並且用戶的瀏覽器會為該請求設置會話cookie。)
另一方面,將cookie發送到第三方站點的功能用於在頁面上插入小部件,例如,與YouTube或Facebook集成。
通過使用SameSite屬性,您可以控制設置Cookie時的行為 並僅響應從最初接收這些Cookie的網站發起的請求發送cookie。
SameSite可以採用三個值``嚴格'',``鬆散''和``無''。
在嚴格模式下 (“嚴格的”)不會針對任何類型的跨站點請求(包括來自外部站點的所有入站鏈接)發送Cookie。
在模式下 “寬鬆”: 應用了更寬鬆的限制,並且僅針對跨站點請求(例如圖像請求或通過iframe下載的內容)阻止cookie傳輸。
當遵循鏈接時,“嚴格”和“寬鬆”之間的區別歸結為阻止cookie。
其他變化
在將來的Chrome版本中,預計還會有其他更改, 計劃應用嚴格的限制,禁止處理第三方Cookie 對於沒有HTTPS的請求(屬性SameSite = None,只能在安全模式下設置cookie)。
此外,計劃進行工作以防止使用瀏覽器指紋,包括基於間接數據(例如屏幕分辨率),所支持的MIME類型的列表,標頭(HTTP / 2和HTTPS)中的特定參數,分析之類的間接數據生成標識符的方法。插件和已安裝的字體。
以及某些Web API的可用性,使用WebGL和Canvas的視頻卡特定的呈現功能,CSS操縱,鼠標和鍵盤特性分析。
此外,Chrome可以防止與之相關的虐待 返回原始頁面的困難 切換到另一個站點(針對在頁面之間重定向您的站點的良好實現)之後。
我們正在談論通過一系列自動重定向使轉換歷史記錄飽和或在瀏覽歷史記錄中人為添加虛假條目(通過pushState)的做法,因此用戶無法使用“返回”按鈕返回。隨機過渡或強制轉發到欺詐網站後的原始頁面。
為了防止此類操作, 後退按鈕處理程序中的Chrome將跳過與自動轉發和訪問歷史記錄操縱相關的日誌,僅使用明確的用戶操作打開頁面。
來源: https://blog.chromium.org/
Cookie究竟是如何設置的?