배포 예정일
Chrome 80 부터 cookie samesite 정책이 변경된다.
2020. 02. 04 배포 예정
* 2020. 02. 05 AM 9 체크해보니 업데이트 되었다.
변경 사항
- SameSite attributer가 지정되지 않았을 때 SameSite=Lax 가 기본값으로 변경
- SameSite=None 설정시 secure flag가 활성화 되어 있지 않으면 reject
참고 사이트
https://www.chromestatus.com/feature/5088147346030592
https://www.chromestatus.com/feature/5633521622188032SameSite Attribue의 설정 정보
ValueDescription
|
Strict |
이 설정을 사용하는 쿠키는 처음에 설정된 도메인을 방문할 때만 액세스할 수 있습니다. 즉, Strict는 쿠키를 사이트 간에 사용할 수 없게 차단합니다. 이 옵션은 은행과 같이 보안이 높은 애플리케이션에 가장 적합합니다. |
|
Lax |
Strict 정책에서 일부를 제외하고 나머지 쿠키 전송을 제한합니다. |
|
None |
79 버젼 기준으로 Default 값이며 쿠키 사용에 있어서 소스가 되는 주소를 검증하지 않습니다. |
정책별 쿠키 전송 유무
Request TypeSample CodeCookies Sent
|
Link |
<a href="..."></a> |
Normal, Lax |
|
Prerender |
<link rel="prerender" href=".."/> |
Normal, Lax |
|
Form GET |
<form method="GET" action="..."> |
Normal, Lax |
|
Form POST |
<form method="POST" action="..."> |
Normal |
|
iframe |
<iframe src="..."></iframe> |
Normal |
|
AJAX |
$.get("...") |
Normal |
|
Image |
<img src="..."> |
Normal |
제한 사항
POST 사용시 Lax 또는 Strict 정책에서는 쿠키 접근 제한 발생
Adobe Target에서 쿠키 접근이 제한됨
이로 인해 사용자 식별이 안되어 방문자가 급증 및 개인화가 불가능 하게 됨
해결 방안
타사이트 쿠키 생성하여 연동이 필요한 경우 해당 쿠키는 SameSite=None; Secure 로 명시해야 함
* 결제 관련된 모듈을 사용중이라면 아래 링크도 참조하세요
https://www.inicis.com/blog/archives/121508
* 2020-02-04 AM 02 KST 에는 아직 Chrome 79가 Stable 입니다.
미국은 아직 2020-02-03 PM 12 이니.. 미국시간 기준으로 업데이트 되지 않을까 합니다.
