このページは Cloud Translation API によって翻訳されました。

SameSite Cookie の使用

Rowan Merewood

</ph> 注: このページは、SameSite Cookie 属性の変更に関するシリーズの一部です。これには以下が含まれます。 <ph type="x-smartling-placeholder">

Chrome Firefox、 Edge、 IETF に沿ってデフォルトの動作が変更されている提案、 Cookie の段階的な改善次のように変更します。

SameSite 属性のない Cookie は SameSite=Lax として扱われます。つまりデフォルトの動作では Cookie がファーストパーティコンテキストのみ。
クロスサイト使用用の Cookie では、次のように SameSite=None; Secure を指定する必要があります。サードパーティのコンテキストを含めることができます。

まだ実施していない場合は、ブロックされないように設定できます。

対応ブラウザ

<ph type="x-smartling-placeholder">
<ph type="x-smartling-placeholder">
<ph type="x-smartling-placeholder">
<ph type="x-smartling-placeholder">

ソース

クロスサイト Cookie またはサードパーティ Cookie のユースケース

Cookie の使用が必要な一般的なユースケースやパターンは数多くあります。テキストメッセージで送信されます。これらの使用方法のいずれかを提供または依存している場合自社またはプロバイダが Cookie を維持することです。

`<iframe>` 内のコンテンツ

<iframe> に表示されている別のサイトのコンテンツがサードパーティのものである説明します。標準的なユースケースの例:

他のサイトから共有された埋め込みコンテンツ（動画、地図、コードサンプル、ソーシャル投稿などです
外部サービスのウィジェット（お支払い、カレンダー、予約、予約機能を利用できます。
ソーシャルボタンや不正防止サービスなどの、あまり目立たないウィジェット <iframes>。

ここで Cookie は、特に、セッション状態の維持、データの保存、全般設定、統計情報の有効化、コンテンツのパーソナライズできます。

埋め込みコンテンツの URL がページの URL と一致しないブラウザウィンドウの図。 — </ph> 埋め込みコンテンツが、トップレベルと同じサイトからのものではない場合サードパーティのコンテンツです。

ウェブは本質的にコンポーズ可能なため、<iframes> は埋め込み視聴されたコンテンツの割合を示しますサイトにあるすべての Cookie 表示される広告は、サードパーティ Cookie と見なされます。もし他のサイトに埋め込むサイトを作成する（クッキーが必要）クロスサイト使用としてマークするかフォールバックできるようにする必要があります。

「安全でない」サイト間でのリクエスト

「安全でない」問題に思えるかもしれませんが状態の変更を目的としています。ウェブでは、これは主に POST リクエストです。クッキー SameSite=Lax とマークされたメッセージは、別のサイトに移動するリンクです。たとえば、<form> を POST を使用する別のサイトに Cookie が含まれていません。

リクエスト間の移動を示す図。 — </ph> 受信リクエストが「safe」コマンドを使用してページが Cookie を送信します。

このパターンは、ユーザーをリモートサーバーにリダイレクトできるサイトに使用されます。返す前になんらかの操作（たとえば、サードパーティ ID プロバイダとやり取りしますユーザーがサイトを離れる前に Cookie は単一の使用トークンを含むセット。このトークンは、このトークンを使用して返されたリクエストをチェックして、そのエラーをクロスサイトリクエストフォージェリ（CSRF）防ぐことができます。返されたリクエストが POST で送信された場合、 Cookie を SameSite=None; Secure として作成します。

リモートリソース

<img> タグや <script> タグなど、ページ上のリモートリソースリクエストで送信される Cookie に依存する場合があります。一般的なユースケースは次のとおりです。コンテンツのカスタマイズなどを行います

これは、fetch または JavaScript を使用して JavaScript から送信されるリクエストにも適用されます。 XMLHttpRequest。fetch() が credentials: 'include' オプション Cookie が含まれる可能性が高くなります。 XMLHttpRequest の場合、想定される Cookie は通常、 withCredentials 値 true 宛て。これらの Cookie は、クロスサイトリクエストにも対応します。

WebView 内のコンテンツ

プラットフォーム固有のアプリの WebView はブラウザを使用します。デベロッパーはアプリに影響する制限や問題が実装できます

Android では、Android のプラットフォーム固有のアプリで CookieManager API。ヘッダーや JavaScript を使用して設定される Cookie と同様に、クロスサイトで使用する場合は SameSite=None; Secure。

今すぐ `SameSite` を実装する方法

ファーストパーティのコンテキストでのみ必要な Cookie に SameSite=Lax のマークを付けるまたは SameSite=Strict を使用します。これらの Cookie にマークを付けない場合デフォルトのブラウザ動作に依存して対処すれば、ブラウザ間で一貫性がないため、ブラウザごとにコンソールの警告がトリガーされる可能性があります。できます。

Set-Cookie: first_party_var=value; SameSite=Lax

サードパーティのコンテキストで必要な Cookie がある場合は、 SameSite=None; Secure。どちらの属性も必須です。「nginx Pod」という None に Secure が指定されていない場合、Cookie は拒否されます。差異を考慮するためブラウザの実装では、場合によっては、緩和策を互換性のないクライアントを処理するで説明されている戦略について説明します。

Set-Cookie: third_party_var=value; SameSite=None; Secure

互換性のないクライアントを処理する

None の追加とデフォルトの動作の更新は、引き続き比較的新しいため、ブラウザごとに処理方法も異なります。詳しくは、 chromium.org の更新ページをご覧ください。をご覧ください。ただし、このリストがすべてを網羅しているとは限りません。

回避策の 1 つは、各 Cookie を新しいスタイルと古いスタイルの両方で設定することです。

Set-cookie: 3pcookie=value; SameSite=None; Secure
Set-cookie: 3pcookie-legacy=value; Secure

新しい動作を実装するブラウザは、SameSite で Cookie を設定します。あります。新しい動作を実装していないブラウザでは、その値を無視して、 3pcookie-legacy Cookie含まれる Cookie を処理する際、サイトはまず新しいスタイルの Cookie が存在することを確認してから、新しい Cookie が見つからない場合は従来の Cookie が削除されます。

次の例は、Node.js でこれを行う方法を示しています。 Express フレームワークとその cookie-parser ミドルウェア:

const express = require('express');
const cp = require('cookie-parser');
const app = express();
app.use(cp());

app.get('/set', (req, res) => {
  // Set the new style cookie
  res.cookie('3pcookie', 'value', { sameSite: 'none', secure: true });
  // And set the same value in the legacy cookie
  res.cookie('3pcookie-legacy', 'value', { secure: true });
  res.end();
});

app.get('/', (req, res) => {
  let cookieVal = null;

  if (req.cookies['3pcookie']) {
    // check the new style cookie first
    cookieVal = req.cookies['3pcookie'];
  } else if (req.cookies['3pcookie-legacy']) {
    // otherwise fall back to the legacy cookie
    cookieVal = req.cookies['3pcookie-legacy'];
  }

  res.end();
});

app.listen(process.env.PORT);

この方法では、冗長な Cookie の設定や、 Cookie の設定と読み取りの両方の時点で変更されます。ただし、動作に関係なくすべてのブラウザに対応し、サードパーティ Cookie も保持できます。

別の方法として、ユーザーエージェント文字列を使用して、 Set-Cookie ヘッダーが送信されます。詳しくは、互換性のないクライアントのリスト適切なユーザーエージェント検出ライブラリをたとえば、ua-parser-js ライブラリは、使用します。このアプローチで必要な変更は 1 つだけですが、ユーザーエージェントスニッフィングでは影響を受けたすべてのユーザーを捕捉できるとは限りません

言語、ライブラリ、フレームワークでの `SameSite=None` のサポート

ほとんどの言語とライブラリでは、SameSite 属性がサポートされています。できます。ただし、SameSite=None の追加はまだ比較的小さいため、現時点では、標準的な動作の回避策が必要になることがあります。これらの動作については、 GitHub の SameSite サンプルリポジトリ。

困ったときは

Cookie はウェブのいたるところで使用されるため、開発チームにとってはめったにありません。どこで設定、使用されているか（特にクロスサイトのユースケースで最適です問題が発生した際、ぜひご連絡ください。

問題を報告する GitHub の SameSite サンプルリポジトリ。
質問を投稿してください。「samesite」（StackOverflow のタグ）。
Chromium の動作に関する問題については、 Chromium の Issue Tracker
で Chrome の進捗状況を確認する SameSite の更新ページ。