允许开发者将 Cookie 选择启用“分区”存储,每个顶级网站都有一个单独的 Cookie 罐。
实现状态
- Chrome 114 及更高版本默认支持。
- Chrome 100 至 Chrome 116 已有一项源试用现已结束,
- 阅读实验意图和发布意图。
什么是 CHIPS?
通过 Cookie 具有独立分区状态 (CHIPS),开发者可以选择将 Cookie 加入分区存储,并为每个顶级网站分别创建单独的 Cookie JAR,从而更好地保护用户隐私并提高安全性。
在不进行分区的情况下,第三方 Cookie 可让服务跟踪用户,并将来自许多不相关的顶级网站的用户信息���并在一起。这称为跨网站跟踪。
浏览器正在逐步淘汰未分区的第三方 Cookie,因此在第三方 Cookie 被屏蔽后,CHIPS、Storage Access API 和 Related Website Sets 将成为从跨网站上下文(例如 iframe)中读取和写入 Cookie 的唯一方式。
<ph type="x-smartling-placeholder">
CHIPS 引入了新的 Cookie 属性 Partitioned,以支持按顶级上下文划分的跨网站 Cookie。
Set-Cookie 标头:
Set-Cookie: __Host-name=value; Secure; Path=/; SameSite=None; Partitioned;
JavaScript:
document.cookie="__Host-name=value; Secure; Path=/; SameSite=None; Partitioned;"
分区第三方 Cookie 将与最初设置它的顶级网站绑定,无法从其他位置访问。这样,由第三方服务设置的 Cookie 只能在最初设置它们的顶级网站相同的嵌入式环境中读取。
<ph type="x-smartling-placeholder">
对于分区 Cookie,当用户访问网站 A 且来自网站 C 的嵌入内容时,系统会将该 Cookie 保存在一个分区 jar 中,该分区仅用于由网站 C 在嵌入网站 A 时设置的 Cookie。只有当顶级网站为 A 时,浏览器才会发送该 Cookie。
当用户访问新的网站(例如网站 B)时,嵌入的 C 框架不会收到在网站 A 中嵌入 C 时设置的 Cookie。
如果用户将网站 C 作为顶级网站进行访问,那么当网站 C 嵌入网站 A 时所设置的分区 Cookie 也不会包含在该请求中。
<ph type="x-smartling-placeholder">
使用场景
例如,网站 retail.example 可能想与第三方服务 support.chat.example 合作,在其网站上嵌入一个支持聊天框。如今,许多嵌入式聊天服务依赖 Cookie 来保存状态。
support.chat.example。如果无法设置跨网站 Cookie,support.chat.example 将需要寻找替代方法(通常更为复杂)来存储状态。或者,它需要嵌入到会带来风险的顶级页面中,因为它允许 support.chat.example 脚本获得对 Retail.example 的提升权限,例如访问身份验证 Cookie 的能力。
CHIPS 可让您更轻松地继续使用跨网站 Cookie,而不会遇到与未分区 Cookie 相关的风险。
CHIPS 示例用例包括跨网站子资源需要某种会话或持久状态概念(范围限定为单个顶级网站上的用户活动)的所有场景,例如:
- 第三方聊天嵌入
- 第三方地图嵌入
- 第三方付款嵌入
- 子资源 CDN 负载均衡
- 无头 CMS 提供商
- 用于提供不受信任的用户内容的沙盒网域(例如 googleusercontent.com 和 githubusercontent.com)
- 第三方 CDN 利用 Cookie 投放由第一方网站上的身份验证状态控制的内容(例如,在第三方 CDN 上托管的社交媒体网站上的个人资料照片)
- 前端框架依赖远程 API 对请求使用 Cookie
- 需要按发布商确定状态范围的嵌入式广告(例如,捕获用户对该网站的广告偏好)
CHIPS 为何使用“选择启用”分区模型
随着浏览器逐步淘汰未分区的第三方 Cookie,我们尝试了几种其他的划分方法。
Firefox 宣布,在 ETP 严格模式和无痕浏览模式下,默认情况下会对所有第三方 Cookie 进行分区,因此所有跨网站 Cookie 都会按顶级网站进行分区。不过,在没有第三方选择启用的情况下对 Cookie 进行分区可能会导致意外错误,因为某些第三方服务构建的服务器需要使用未分区的第三方 Cookie。
Safari 以前尝试根据启发法对 Cookie 进行分区,但最终选择完全屏蔽它们,因为让开发者感到困惑是原因之一。最近,Safari 表示对一种基于“参与调查”模块的模式感兴趣。
CHIPS 与分区 Cookie 的现有实现有别于其他第三方选择。必须使用���属性设置 Cookie,才能在(未分区的)第三方 Cookie 停用后通过跨多方请求发送 Cookie。
虽然第三方 Cookie 仍然存在,但 Partitioned 属性可让您选择启用更严格、更安全的 Cookie 行为。CHIPS 是帮助相关服务顺利过渡到不使用第三方 Cookie 的未来的重要步骤。
Cookie 分区技术设计
目前,Cookie 的键控于设置 Cookie 的网站的主机名或网域,即其主机密钥。
例如,对于来自 https://support.chat.example 的 Cookie,主机密钥为 ("support.chat.example")。
在 CHIPS 下,选择进行分区的 Cookie 将加在主机密钥和分区键上。
Cookie 的分区键是指浏览器在开始向设置 Cookie 的端点发出请求时访问的顶级网址的网站(架构和可注册域名)。
在前面的示例中,https://support.chat.example 嵌入在 https://retail.example 上,顶级网址为 https://retail.example。
在这种情况下,分区键为 ("https", "retail.example")。
同样,请求的分区键是请求开始时浏览器正在访问的顶级网址所在的网站。浏览器必须在与 Cookie 具有相同分区键的请求中发送具有 Partitioned 属性的 Cookie。
下面是之前示例中 Cookie 键在 CHIPS 前后的样子。
<ph type="x-smartling-placeholder">
条状标签之前
key=("support.chat.example")
CHIPS 之后
key={("support.chat.example"),("https", "retail.example")}
安全设计
为了鼓励良好的安全做法,使用 CHIPS,Cookie 仅由安全协议设置并通过安全协议发送。
- 必须使用
Secure设置分区 Cookie。 - 建议您在设置分区 Cookie 时使用
__Host-前缀,使其绑定到主机名(而不是可注册网域)。
示例:
Set-Cookie: __Host-example=34d8g; SameSite=None; Secure; Path=/; Partitioned;
CHIPS 替代方案
Storage Access API 和关联的 Related Website Sets (RWS) 是 Web 平��机制,可针对面向用户的特定目的启用有限的跨网站 Cookie 访问权限。
这些是 CHIPS 分区的替代方案,在需要访问未分区的跨网站 Cooke 的情况下。
如果您需要将同一 Cookie 用于嵌入多个相关网站的服务,请考虑使用 Storage Access API 和 Related Website Sets。
CHIPS 可将服务作为跨多个网站的独立组件发挥作用,而无需在多个网站上提供相同的 Cookie。如果该服务设置了分区 Cookie,其分区键将是顶级网站,而该 Cookie 将不适用于同样使用该服务的其他网站。
Related Website Sets 设计依赖于 Storage Access API,未与 CHIPS 分区集成。如果您的用例依赖于 RWS 内跨网站共享 Cookie 分区,您可以提供有关 GitHub 问题的示例和反馈。
演示
此演示将向您介绍分区 Cookie 的工作原理,以及如何在开发者工具中检查分区 Cookie。
网站 A 嵌入了网站 B 中的 iframe,后者使用 JavaScript 设置两个 Cookie:一个已分区 Cookie 和一个未分区 Cookie。网站 B 会显示可通过 document.cookie 从该位置访问的所有 Cookie。
如果第三方 Cookie 被屏蔽,网站 B 将只能在跨网站上下文中使用 Partitioned 属性设置和访问此 Cookie。
在允许第三方 Cookie 的情况下,网站 B 也能够设置和访问未分区 Cookie。
<ph type="x-smartling-placeholder">
前提条件
- Chrome 118 或更高版本。
- 访问
chrome://flags/#test-third-party-cookie-phaseout并启用此设置
使用开发者工具检查已分区 Cookie
- 访问 https://chips-site-a.glitch.me。
- 按
Control+Shift+J(在 Mac 上,按Command+Option+J)打开开发者工具。 - 点击 Application 标签页。
- 导航至应用程序 >存储 >Cookie。
- 点击
https://chips-site-b.glitch.me。
开发者工具将显示来自所选来源的所有 Cookie。
<ph type="x-smartling-placeholder">
网站 B 只能在跨网站上下文中设置分区 Cookie,未分区 Cookie 将被阻止:
- 您应该会看到
__Host-partitioned-cookie带有顶级网站https://chips-site-a.glitch.me的分区键。
- 点击前往网站 B。
- 在 DevTools 中,导航至 Application >存储 >Cookie。
- 点击
https://chips-site-b.glitch.me。
在这种情形中,由于您在顶级上下文中位于网站 B,因此它可以设置和访问这两个 Cookie:
unpartitioned-cookie的分区键为空。__Host-partitioned-cookieCookie 具有分区键https://chips-site-b.glitch.me。
如果您返回网站 A,则 unpartitioned-cookie 现在已存储在浏览器中,但您无法从网站 A 访问该网站。
- 点击转到网站 A。
- 点击网络标签页。
- 点击
https://chips-site-b.glitch.me。 - 点击 Cookies 标签。
在网站 A 上,您应该会看到 __Host-partitioned-cookie 以及顶级网站 https://chips-site-a.glitch.me 的分区键。
如果您选中显示已过滤的 Cookie 请求,则开发者工具将会显示未分区的 Cookie 已被屏蔽,并以黄色突出显示,并显示一条提示:“此 Cookie 因用户偏好设置而被屏蔽”。
<ph type="x-smartling-placeholder">
在应用程序 >存储 >点击 https://chips-site-b.glitch.me 的 Cookies
将显示:
- 将
unpartitioned-cookie替换为空分区键。 - 具有分区键
https://chips-site-a.glitch.me的__Host-partitioned-cookieCookie。
__Host-partitioned-cookie Cookie 具有分区键 https://chips-site-a.glitch.me。unpartitioned-cookie 已显示,但当网站 B 嵌入网站 A 时,网站 B 的 iframe 无法访问。清除 Cookie
要重置演示,请清除该网站的所有 Cookie:
- 按
Control+Shift+J(在 Mac 上,按Command+Option+J)打开开发者工具。 - 点击 Application 标签页。
- 导航至应用程序 >存储 >Cookie。
- 右键点击
https://chips-site-b.glitch.me。 - 点击清除。
资源
- GitHub:阅读说明文档,提出问题并关注讨论。
- 开发者支持:在 Privacy Sandbox 开发者支持代码库中提问并参与讨论。