Hlavní navigace

Chrome 84 blokuje neoznačené cookies třetích stran

Sdílet

Ondřej Caletka 27. 8. 2020

Google Chrome verze 84, které vyšlo v červenci zásadním způsobem zpřísňuje nakládání s Cookies třetích stran. Tato změna se bohužel zřejmě včas nedostala ke všem webovým vývojářům, takže je možné se setkat s problémy zejména na komplexních webových službách, používajících <iframe>  pro integraci služby třetí strany, například platební brány. Chyba se obvykle projeví hlášením o vypršení relace, neboť aplikace třetí strany interpretuje nepřijetí Cookie tak, že dané Cookie vypršela platnost.

Problém postihuje například platební bránu na webu ČSA při ověřování karty mBank.

Problém postihuje například platební bránu na webu ČSA při ověřování karty mBank.

Příčinou je změna interpretace nového atributu SameSite , kterým může autor Cookie deklarovat, kam má být odesílána v závislosti na aktuálně otevřené stránce v prohlížeči. Chrome verze 84 změnilo výchozí hodnotu None na hodnotu Lax, takže Cookies jsou odesílány jen v rámci jedné webové prezentace. Aby byla Cookie doručována i třetím stranám, je nově nutné doplnit ji atributy SameSite=None; Secure. Ani to však není bez rizika, starší verze prohlížečů tomuto atributu nerozuměly a takto přijaté Cookies ignorovaly.

Google Chrome je první prohlížeč implementující tuto změnu, ostatní se chystají následovat. Prozatím je tedy možné problémy obcházet použitím jiného prohlížeče, nebo vypnutím flagu  chrome://flags/#same-site-by-default-cookies.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.