谷歌今天正式宣布Chrome 80穩定版。值得注意的是,新版本中引入SameSite Cookie可能會破壞網站功能。啟用這項功能之後意味著只有從安全連結訪問cookies的時候,它們才可以在第三方上下文中使用。
上月谷歌宣布了多項會在未來2年內部署的策略調整,其最終目標是完全淘汰對Chrome中第三方Cookie的支持。谷歌表示新計劃是由於人們希望獲得更大的隱私權並控制其數據而產生的。谷歌表示,它希望開發一種適用於整個網絡生態系統的新系統,包括發行商。
在2019年5月,谷歌已經強制第三方cookies使用HTTPS。此警告應使網站管理員有時間更新其網站,以確保Chrome 80的發布不會出現任何問題。在2019年10月,谷歌再次通過開發人員社區發出提醒。對於仍未做好準備的人們,Google已發布了一段視頻,解釋了都有哪些變更。
為了幫助緩解登錄問題,Chrome瀏覽器引入了一項新功能,該功能允許不具有指定SameSite設置的cookie用於頂級跨站點POST請求類型,而它通常用於登錄流程中。而 「Lax + POST」 功能能讓cookie只需兩分鐘即可完成其預期的功能。
若未指定 SameSite 屬性,Chrome 80 版會依預設將 Cookie 設為 SameSite=Lax。在 Chrome 80 版之前,預設為 SameSite=None。藉由明確設定 SameSite=None; Secure,開發人員仍可選擇加入不受限制的當前使用狀態。
Google還警告說,如果尚未更新內部應用程式以滿足Chrome的新期望,則企業管理員可能需要實施特殊政策以將Chrome恢復為舊版行為。總體而言,此更改應進一步增強普通用戶的Web安全性。