Вы столкнулись с тем, что по мере того, как браузеры переходят на более эффективные методы сохранения конфиденциальности пользователей, это меняет подход сайтов к обработке данных. Определенно существует противоречие между компоновкой / встраиваемостью веб-страниц и проблемами конфиденциальности и безопасности этого смешанного контента. Я думаю, что в настоящее время это выходит на первый план в конфликте между блокировкой векторов дактилоскопии, чтобы предотвратить отслеживание пользователей, которые часто являются теми же сигналами, которые используются сайтами для обнаружения мошенничества. Вечная проблема, заключающаяся в том, что если у вас есть идеальная конфиденциальность по «веским» причинам, это означает, что все люди, совершающие «плохие» поступки (например, перебирая партию украденных кредитных карт), также имеют идеальную конфиденциальность.
В любом случае,Помимо этических дилемм всего этого, я бы предложил найти способы побудить пользователей к преднамеренным отношениям с вашим сайтом / службой в первую очередь, когда вам нужно отследить какое-то состояние, связанное с ними. Такое ощущение, что в целом безопасное предположение кодировать так, как будто все хранилище будет разбито на разделы в долгосрочной перспективе, и что любая форма отслеживания должна осуществляться через информированное согласие. Если дело обстоит не так, то я все равно думаю, что вы создадите лучший опыт.
В краткосрочной перспективе есть несколько вариантов на https://web.dev/samesite-cookie-recipes:
- Используйте дванаборы файлов cookie, один с текущими заголовками формата, а другой без перехвата всех браузеров.
- Перехватите useragent для возврата соответствующих заголовков в браузер.
Вы также можете сохранить первыйсторонние файлы cookie, например SameSite=Lax
или SameSite=Strict
, которые вы используете для обновления межсайтовых файлов cookie, когда пользователь посещает ваш сайт в контексте верхнего уровня. Например, если вы предоставляете встраиваемый виджет, который предоставляет персонализированный контент, в случае, если нет файлов cookie, вы можете отобразить сообщение в виджете, которое связывает пользователя с исходным сайтом для входа. Таким образом, вы явно сообщаете значениедля вашего пользователя, позволяющего идентифицировать их через эту границу сайта.
Для более долгосрочного просмотра вы можете посмотреть на предложения, подобные HTTP State Tokens , в которых описывается один контролируемый клиентомтокен с явным межсайтовым соглашением. Также существует предложение isLoggedIn
, которое касается предоставления возможности указать браузеру, что для отслеживания сеанса пользователя используется определенный токен.