ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • Google Chrome 80 SameSite Policy
    개발 이야기 2020. 2. 3. 16:25

    chrome 80 upcoming...

    배포 예정일

    Chrome 80 부터 cookie samesite 정책이 변경된다.

    2020. 02. 04 배포 예정

    * 2020. 02. 05 AM 9 체크해보니 업데이트 되었다.

     

    변경 사항

    1. SameSite attributer가 지정되지 않았을 때 SameSite=Lax 가 기본값으로 변경

    2. SameSite=None 설정시 secure flag가 활성화 되어 있지 않으면 reject

    참고 사이트
    
    https://www.chromestatus.com/feature/5088147346030592
    https://www.chromestatus.com/feature/5633521622188032

     

    SameSite Attribue의 설정 정보

    ValueDescription

    Strict

    이 설정을 사용하는 쿠키는 처음에 설정된 도메인을 방문할 때만 액세스할 수 있습니다. 즉, Strict는 쿠키를 사이트 간에 사용할 수 없게 차단합니다. 이 옵션은 은행과 같이 보안이 높은 애플리케이션에 가장 적합합니다.

    Lax

    Strict 정책에서 일부를 제외하고 나머지 쿠키 전송을 제한합니다.

    None

    79 버젼 기준으로 Default 값이며 쿠키 사용에 있어서 소스가 되는 주소를 검증하지 않습니다.

     

    정책별 쿠키 전송 유무

    Request TypeSample CodeCookies Sent

    Link

    <a href="..."></a>

    Normal, Lax

    Prerender

    <link rel="prerender" href=".."/>

    Normal, Lax

    Form GET

    <form method="GET" action="...">

    Normal, Lax

    Form POST

    <form method="POST" action="...">

    Normal

    iframe

    <iframe src="..."></iframe>

    Normal

    AJAX

    $.get("...")

    Normal

    Image

    <img src="...">

    Normal

     

    제한 사항

    POST 사용시 Lax 또는 Strict 정책에서는 쿠키 접근 제한 발생

    Adobe Target에서 쿠키 접근이 제한됨

    이로 인해 사용자 식별이 안되어 방문자가 급증 및 개인화가 불가능 하게 됨

     

    해결 방안

    타사이트 쿠키 생성하여 연동이 필요한 경우 해당 쿠키는 SameSite=None; Secure 로 명시해야 함

     

    * 결제 관련된 모듈을 사용중이라면 아래 링크도 참조하세요

    https://www.inicis.com/blog/archives/121508

     

    * 2020-02-04 AM 02 KST 에는 아직 Chrome 79가 Stable 입니다.
    미국은 아직 2020-02-03 PM 12 이니.. 미국시간 기준으로 업데이트 되지 않을까 합니다.

     

    '개발 이야기' 카테고리의 다른 글

    Google Chrome 80 SameSite Policy  (0) 2020.02.03

    댓글 0

Designed by black7375.