问题标签 [third-party-cookies]

如果这有点冗长，请提前抱歉 - 但我已经深入研究了它，所以我想提供我所知道的:-)

我有一个我们为客户提供的解决方案（在 IBM XPages 中开发），例如通过 iframe。我们现在已经开始看到 iframe 无法加载内容的问题。这发生在 Safari 和 Chrome 上的私人会话中。原因是这个小 Javascript 被注入到 iframe 页面的标题中：

它自己的 iframe 如下所示：

如您所见，iframe 链接与 Javascript（使用http而不是https）中的链接存在差异。

在浏览器的控制台中，我看到以下消息：

这显然是一个合理的理由。

但是是什么添加了“错误”的内容——我该如何解决这个问题？

我们的测试系统不是 100% 等同于我们的生产系统。生产中的 Nginx 在同一台服务器上（测试中的不同服务器），在测试中我们使用 LetsEncrypt 进行 SSL - 但在生产中我们获得了证书。从托管中心。我们仅在生产中设置了ssl_session_cache - 以及其他一些小的（我认为）差异......

生产环境中 nginx 服务器的配置如下所示（省略了其他服务器的一些细节）：

任何想法都非常感谢！

提前致谢 ;-）

/约翰

编辑：测试页面的链接已被删除，因为该页面现在也已被删除:-)

Express-Session 在开发环境中工作，因为它在我的浏览器中设置了“connect.sid”cookie。但是，在生产中，它不存储 cookie，而是使用相同的会话 - 它每次都会创建一个新会话。我相信如果我能以某种方式保存第三方 cookie，这个问题就会得到解决，因为我的应用程序是使用 Heroku 部署的。最后，我还使用了 express-cors 来避免 CORS 问题（不知道这是否与 cookie 问题有关）。我在 cors 中设置了 {credentials: true}，在 Axios 中也设置了 {withCredentials: true}。

最新版本的 Chrome 和其他浏览器默认阻止第三方 cookie，用户可以通过例如单击 Chrome 中的眼睛图标并选择允许第三方 cookie 来允许这些 cookie。

我有一个使用 Google Sheet API 和 Google drive 文件选择器的网络应用程序，它需要第三方 cookie 才能工作，有没有办法设置我的应用程序，以便用户不必手动允许第三方 cookie？

我的问题是我有一个包含 2 个域的网页，一个用于后端，另一个用于前端，我的后端在烧瓶中，我使用烧瓶会话模块来创建会话，它几乎在任何地方都能完美运行，但在 iphone 中却不行，在 mac 中有效但在 iphone 中无效，所以我意识到禁用“防止跨站点跟踪”会话在 iphone 中完美运行，所以我看到的问题是，由于我的前后有不同的域，它会将我的会话 cookie 转换为第三个-party coockie，它在 iphone 中被阻止，我的问题是 ¿ 有人知道解决这个问题的方法吗？我不想将我的前后放在同一个域中，或者要求用户禁用“防止跨站点跟踪”。

提前致谢

我希望你们都平安，身体健康。我想检查用户的设备 cookie，如果有任何 cookie 中存储，我会收到电子邮件。我想在用户访问我的网站时执行此操作。这是否可以实现？如果是，你能帮帮我吗？如果不是，你能告诉我为什么不吗？

我正在整个互联网上搜索此内容，但没有发现有人说您只能读取具有相同域（由您设置）的 cookie，或者有人说您可以看到第三方的 cookie。我不明白这是什么意思。

感谢您等待您的友好回复。

我正在开发一个可以部署在客户网站上的 javascript 可嵌入聊天小部件。我正在尝试从我的 Iframe 小部件向后端进行 API 调用（使用配置了 Credentials 的 XMLhttp）以获取一些数据并设置 cookie（JWT），我收到 200 个响应并在标头中看到设置的 cookie，但无法在其中看到它控制台应用程序。

有人可以帮我解决这个问题吗？我错过了什么吗？

我对饼干感到困惑。在这篇文章中，您似乎一致认为您不能为另一个域设置 cookie。

但是，什么是第三方 cookie？

第三方 cookie 是由您当前所在网站以外的网站设置的 cookie。例如，您可以在您的网站上设置一个“赞”按钮，该按钮将在访问者的计算机上存储一个 cookie，Facebook 稍后可以访问该 cookie 以识别访问者并查看他访问了哪些网站。

源代码

第三方 cookie 听起来像是一个域为另一个域设置的 cookie。

如果您无法为其他域设置 cookie，如何使用第三方 cookie？我有什么误解？

我正在使用在源 A 下运行的 Web 应用程序。在该网站上，我添加了一个在源 B 下运行的 iframe。在该 iframe 中，我想嵌入来自源 A 的图像，该图像需要加载身份验证 cookie。我可以控制在原点 B 下的 iframe 中运行的 Web 应用程序，但我无法控制原点 A（除了能够向其添加 iframe）。

如果我在 Chrome 中禁用第三方 cookie，加载图像时不会发送身份验证 cookie，因此不会加载图像。Chrome 似乎将身份验证 cookie 视为第三方 cookie，即使它是第三方 iframe 使用的第一方 cookie。

互联网说Safari 正在阻止所有第三方 cookie。但是，当我在 Safari 中打开页面时，图像加载成功。

为什么会这样？Safari 是否不将 cookie 视为第三方？或者 Safari 实际上并没有阻止所有第三方 cookie？我在哪里可以找到有关此的更多信息？

我有一个作为中央服务运行的应用程序，它可以作为 i-frame 嵌入到任意网页中。此应用程序在 Wildfly 应用程序服务器中运行，并使用带有 cookie 的服务器端会话。从浏览器的角度来看，这些 cookie 是第三方 cookie。

不久前，谷歌宣布他们将在 2022 年禁用 Chrome 中对第三方 cookie 的支持。我知道如果我希望它与 Chrome 一起使用，我将不得不重新设计应用程序的架构。从理论上讲，我认为应该可以使用没有 cookie 的会话。我可以通过 Javascript 进行 OAuth 2.0 身份验证，并在每个服务器请求中将访问令牌作为不记名身份验证发送。服务器可以使用这个令牌来识别会话。

不幸的是，我不想从头开始构建服务器，我正在使用 Wildfly 为我处理会话。我知道这是一个高级主题，但我会很感激一些提示如何让 Wildfly（或任何其他 Jave EE 容器）使用与 cookie 不同的标识符来识别会话。

我已在应用程序中订阅了一项服务，但在从所有其他设备注销后，我无法使用相同的凭据登录我的其他设备

这怎么可能？他们是否有我的登录活动（他们使用第三方身份验证 - 因为我已经使用我的谷歌帐户注册）并存储了我当前的 IP 地址并且只允许这个 IP 地址？

如何解决这个问题，如果市场上有可能，我可以使用一些 VPN 在我的所有设备上使用相同的 IP 地址吗？因为我已经搜索过这个并且浪费了我很多宝贵的时间所以我在这里发布这个

TL;DR：我在从当前设备注销后尝试从另一台设备登录，但它不允许我这样做。