第三方开发人员设置的 SameSite Cookie

【问题标题】:SameSite Cookie setup by third party developers第三方开发人员设置的 SameSite Cookie
【发布时间】:2023-04-04 23:41:02
【问题描述】:

我们有一个像素文件,就像谷歌分析、facebook 像素、hotjar 像素一样,我们将其提供给我们的客户并将其提供给他们的网站。然后,我们使用我们的域在他们的网站上设置了一些 cookie。

我在 SameSite cookie 上阅读了this article,并且我了解如果我是第一方的开发人员,我应该使用 SameSite : Strict 或 Lax 以不让像我们这样的第三方阅读他们的秘密 cookie。但我无法为在第一方网站上获取和设置读取 cookie 的第三方开发人员找到任何资源。

如果第三方开发人员只想获取和设置第一方的 cookie,他们应该在 SameSite cookie 中使用什么?

【问题讨论】:

    标签: cookies samesite


    【解决方案1】:

    如果我完全理解您的问题,那么您会感到困惑:SameSite 不是与其他人共享 cookie。

    在任何情况下,SiteA 发出的 cookie 都只会发送到 SiteA。

    Google 要添加的保护措施是区分:

    • SiteA(=同一个站点)在 SiteA 上请求资源(无论其 SameSite 属性值如何,都会发送 Cookie)
    • SiteB(= 另一个站点)在 SiteA 上请求资源(仅当 SameSite 为 Lax 时才会发送 Cookie,或者 - 在 Chrome 的未来版本中 - Samesite=None;Secure)

    因此,如果您提供要包含在其他站点中的脚本,则 cookie 必须具有 Samesite=Lax 属性。

    分析脚本就是这种情况,就像(例如)提供 jQuery 的 CDN 一样。

    【讨论】:

      猜你喜欢
      • 2020-05-30
      • 2022-07-05
      • 2021-11-28
      • 1970-01-01
      • 2020-05-19
      • 1970-01-01
      • 2020-12-18
      • 1970-01-01
      • 2013-12-08
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode