cookies - 第三方开发人员设置的 SameSite Cookie
问题描述
我们有一个像素文件,就像谷歌分析、facebook 像素、hotjar 像素一样,我们将其提供给我们的客户并将其提供给他们的网站。然后,我们使用我们的域在他们的网站上设置了一些 cookie。
我阅读了有关 SameSite cookie 的这篇文章,并且我知道如果我是第一方的开发人员,我应该使用 SameSite : Strict 或 Lax 以不让像我们这样的第三方读取他们的秘密 cookie。但是对于在第一方网站上获取和设置读取 cookie 的第三方开发人员,我找不到任何资源。
如果第三方开发人员只想获取和设置第一方的 cookie,他们应该在 SameSite cookie 中使用什么?
解决方案
如果我完全理解您的问题,就会感到困惑:SameSite不是要与其他人共享 cookie。
在任何情况下,SiteA 发布的 cookie 都只会发送到 SiteA。
Google 要添加的保护措施是区分:
- SiteA(= 同一个站点)在 SiteA 上请求资源(无论其 SameSite 属性值如何,都会发送 Cookie)
- SiteB(= 另一个站点)在 SiteA 上请求资源(仅当 SameSite 为 Lax 时才会发送 Cookie,或者 - 在 Chrome 的未来版本中 - Samesite=None;Secure)
因此,如果您提供要从另一个站点包含的脚本,则 cookie 必须具有 Samesite=Lax 属性。
分析脚本就是这种情况,就像(例如)提供 jQuery 的 CDN 一样。
推荐阅读
- python - 在 tkinter 中上传图标时遇到问题
- gremlin - 提供的遍历未映射到值
- cryptography - 为什么 HSM 生成的关键组件有奇偶校验错误?
- c# - 在 C# Angularjs 中检索 Twitter 直接消息图像
- java - 如何在android studio中修复(资源@drawable/abc_vector_test 在androix.appcompat:appcompat 中标记为私有)
- python - Python - How can the script go through directories and check if there are empty or not?
- c++ - 检查二元迷宫是否可以通过受限移动解决的有效算法
- image - 散景旋转图像块底层图像
- java - JavaFX 11 Eclipse e(fx)clipse sample project error
- python - Python循环文件并将内容保存到dict