0

我们有一个像素文件,就像谷歌分析、facebook 像素、hotjar 像素一样,我们将其提供给我们的客户并将其提供给他们的网站。然后,我们使用我们的域在他们的网站上设置了一些 cookie。

我阅读了有关 SameSite cookie 的这篇文章,并且我知道如果我是第一方的开发人员,我应该使用 SameSite : Strict 或 Lax 以不让像我们这样的第三方读取他们的秘密 cookie。但是对于在第一方网站上获取和设置读取 cookie 的第三方开发人员,我找不到任何资源。

如果第三方开发人员只想获取和设置第一方的 cookie,他们应该在 SameSite cookie 中使用什么?

4

1 回答 1

0

如果我完全理解您的问题,就会感到困惑:SameSite不是要与其他人共享 cookie。

在任何情况下,SiteA 发布的 cookie 都只会发送到 SiteA。

Google 要添加的保护措施是区分:

  • SiteA(= 同一个站点)在 SiteA 上请求资源(无论其 SameSite 属性值如何,都会发送 Cookie)
  • SiteB(= 另一个站点)在 SiteA 上请求资源(仅当 SameSite 为 Lax 时才会发送 Cookie,或者 - 在 Chrome 的未来版本中 - Samesite=None;Secure)

因此,如果您提供要从另一个站点包含的脚本,则 cookie 必须具有 Samesite=Lax 属性。

分析脚本就是这种情况,就像(例如)提供 jQuery 的 CDN 一样。

于 2020-01-24T15:12:04.433 回答