Настройка SameSite Cook ie сторонними разработчиками

Question

У нас есть пиксельный файл, такой как Google Analytics, Facebook, Hotjar Pixel, который мы даем нашим клиентам, а они отправляют на их веб-сайт. Затем мы установили на их веб-сайте несколько файлов cookie с нашим доменом.

Я прочитал эту статью о файлах cookie SameSite и понимаю, что если я являюсь разработчиком первой стороны, мне следует использовать SameSite: Strict или Lax для не позволяйте третьей стороне, как мы, читать их секретные куки. Но я не могу найти какой-либо ресурс для сторонних разработчиков, которые получают и устанавливают файлы cookie для чтения на веб-сайте первого лица.

Что должны использовать сторонние разработчики в SameSite cook ie, если они хотят получить и установить только печенье первой стороны?

Answer 1

Если я полностью понимаю ваш вопрос, возникает путаница: SameSite не о том, чтобы делить повара ie с кем-то еще.

В любом случае, повар ie, выданное SiteA, будет отправлено только на SiteA.

То, что Google собирается добавить в качестве защиты, должно различать guish между:

• SiteA (= тот же сайт) запросить ресурс на SiteA (Cook ie будет отправлен, независимо от значения атрибута SameSite)
• SiteB (= другой сайт ) запросить ресурс на SiteA (Cook ie будет отправлен только в том случае, если SameSite - Lax, или - в будущих версиях Chrome - Samesite = None; безопасный)

Итак, если вы предоставите сценарий, который будет включен с другого сайта, cook ie должен иметь атрибут Samesite = Lax.

Это относится к сценарию аналитики, как (например) для CDN, предоставляющего jQuery.