Chrome浏览器发布80正式版:调整Cookie
谷歌今天正式宣布Chrome 80稳定版。值得注意的是,新版本中引入SameSite Cookie可能会破坏网站功能。启用这项功能之后意味着只有从安全链接访问cookies的时候,它们才可以在第三方上下文中使用。
上月谷歌宣布了多项会在未来2年内部署的策略调整,其最终目标是完全淘汰对Chrome中第三方Cookie的支持。谷歌表示新计划是由于人们希望获得更大的隐私权并控制其数据而产生的。谷歌表示,它希望开发一种适用于整个网络生态系统的新系统,包括发行商。
在2019年5月,谷歌已经强制第三方cookies使用HTTPS。此警告应使网站管理员有时间更新其网站,以确保Chrome 80的发布不会出现任何问题。在2019年10月,谷歌再次通过开发人员社区发出提醒。对于仍未做好准备的人们,Google已发布了一段视频,解释了都有哪些变更。
为了帮助缓解登录问题,Chrome浏览器引入了一项新功能,该功能允许不具有指定SameSite设置的cookie用于顶级跨站点POST请求类型,而它通常用于登录流程中。而 “Lax + POST” 功能能让cookie只需两分钟即可完成其预期的功能。
若未指定 SameSite 属性,Chrome 80 版会依预设将 Cookie 设为 SameSite=Lax。在 Chrome 80 版之前,预设为 SameSite=None。藉由明确设定 SameSite=None; Secure,开发人员仍可选择加入不受限制的当前使用状态。
Google还警告说,如果尚未更新内部应用程序以满足Chrome的新期望,则企业管理员可能需要实施特殊政策以将Chrome恢复为旧版行为。总体而言,此更改应进一步增强普通用户的Web安全性。