본문 바로가기

개발

Google Chrome 80 SameSite Policy

chrome 80 upcoming...

배포 예정일

Chrome 80 부터 cookie samesite 정책이 변경된다.

2020. 02. 04 배포 예정

* 2020. 02. 05 AM 9 체크해보니 업데이트 되었다.

 

변경 사항

  1. SameSite attributer가 지정되지 않았을 때 SameSite=Lax 가 기본값으로 변경
  2. SameSite=None 설정시 secure flag가 활성화 되어 있지 않으면 reject
참고 사이트

https://www.chromestatus.com/feature/5088147346030592
https://www.chromestatus.com/feature/5633521622188032

 

SameSite Attribue의 설정 정보

ValueDescription

Strict

이 설정을 사용하는 쿠키는 처음에 설정된 도메인을 방문할 때만 액세스할 수 있습니다. 즉, Strict는 쿠키를 사이트 간에 사용할 수 없게 차단합니다. 이 옵션은 은행과 같이 보안이 높은 애플리케이션에 가장 적합합니다.

Lax

Strict 정책에서 일부를 제외하고 나머지 쿠키 전송을 제한합니다.

None

79 버젼 기준으로 Default 값이며 쿠키 사용에 있어서 소스가 되는 주소를 검증하지 않습니다.

 

정책별 쿠키 전송 유무

Request TypeSample CodeCookies Sent

Link

<a href="..."></a>

Normal, Lax

Prerender

<link rel="prerender" href=".."/>

Normal, Lax

Form GET

<form method="GET" action="...">

Normal, Lax

Form POST

<form method="POST" action="...">

Normal

iframe

<iframe src="..."></iframe>

Normal

AJAX

$.get("...")

Normal

Image

<img src="...">

Normal

 

제한 사항

POST 사용시 Lax 또는 Strict 정책에서는 쿠키 접근 제한 발생

Adobe Target에서 쿠키 접근이 제한됨

이로 인해 사용자 식별이 안되어 방문자가 급증 및 개인화가 불가능 하게 됨

 

해결 방안

타사이트 쿠키 생성하여 연동이 필요한 경우 해당 쿠키는 SameSite=None; Secure 로 명시해야 함

 

* 결제 관련된 모듈을 사용중이라면 아래 링크도 참조하세요

https://www.inicis.com/blog/archives/121508

 

* 2020-02-04 AM 02 KST 에는 아직 Chrome 79가 Stable 입니다.
미국은 아직 2020-02-03 PM 12 이니.. 미국시간 기준으로 업데이트 되지 않을까 합니다.

 

'개발' 카테고리의 다른 글

Google Chrome 80 SameSite Policy  (0) 2020.02.03