Web技术

cookie是存储在浏览器中的一组数据，用于保存网站执行其功能所需的状态和其他信息。

注意：本文是SameSite cookie属性更改系列文章的一部分，其中包括：

• SameSite cookie解释
• SameSite饼干配方
• 有计划的相同站点

cookie是网站存储在用户机器上的一个小文件，它存储的信息在浏览器和网站之间来回传播。

每个cookie都是一个键值对，以及控制该cookie何时何地使用的许多属性。这些属性用于设置过期日期或指示cookie只能通过HTTPS发送等内容。您可以在HTTP头中或通过JavaScript接口设置cookie。

Cookie是可用于向网站添加持久状态的方法之一。多年来，他们的能力不断发展，但给平台留下了一些遗留问题。为了解决这一问题，浏览器（包括Chrome、Firefox和Edge）正在改变其行为，以强制执行更多的隐私保护默认值。

注：了解更多关于Chrome保护人们在线隐私的努力，并为公司和开发者提供工具来建立繁荣的数字业务。

隐私沙盒是一系列建议，旨在满足第三方使用情况，而无需第三方cookie或其他跟踪机制。

Trust Tokens是一种新的API，使网站能够将有限数量的信息从一个浏览上下文传递到另一个浏览环境（例如，跨网站），以帮助打击欺诈，而无需被动跟踪。

注意：此API已被重命名为私有状态令牌【Private State Tokens】。developer.cochrome.com文章Private State Tokens提供了实施状态更新，并解释了如何参与和共享反馈。

小心⚠️ 警告：您可能需要更新您的应用程序！TrustTokenV3是对Chromium的Trust Tokens实现的向后不兼容更改的集合。这些变化出现在Chrome 92上，并于2021年7月底达到Chrome Stable。如果您还没有，您将需要更新测试API的现有应用程序。了解更多：什么是TrustTokenV3？。

“同一站点”的定义正在演变为包括URL方案，因此站点的HTTP和HTTPS版本之间的链接现在被视为跨站点请求。默认情况下升级到HTTPS以尽可能避免出现问题，或者继续阅读以了解需要哪些SameSite属性值的详细信息。

注意：本文是SameSite cookie属性更改系列文章的一部分，其中包括：

• 了解Cookie
• SameSite cookie解释
• SameSite饼干配方

Schemeful Same Site(Schemeful Same-Site)将（网站）的定义从仅可注册域修改为scheme+可注册域。您可以在理解“相同站点”和“相同来源”中找到更多详细信息和示例。

什么是第三方？

一个网站是完全独立的，这是相当罕见的。HTTP网络年鉴显示，大多数网站（约95%）都包含一些第三方内容。

Almanac 将第三方内容定义为托管在共享和公共来源上的内容，该内容被各种网站广泛使用，不受单个网站所有者的影响。这些可能是图像或其他媒体，如视频、字体或脚本。图像和脚本所占的比其他所有内容加在一起还要多。第三方内容对开发网站来说并不重要，但也可以；几乎可以肯定的是，您将使用从公共共享服务器加载的东西，无论是网络字体、视频的嵌入式iframe、广告还是JavaScript库。例如，您可能正在使用Google fonts提供的网络字体，或者使用Google analytics测量分析；您可能添加了来自社交网络的“点赞”按钮或“登录方式”按钮；您可能正在嵌入地图或视频，或通过第三方服务处理购物；您可能正在通过第三方监控工具为自己的开发团队跟踪错误并进行日志记录。

虽然谷歌可能还没有完成在Chrome中逐步淘汰第三方cookie的计划，但结局仍将发生。其他浏览器几年前就已经做出了这一改变。我们研究第三方cookie在营销中的用途，为什么会出现问题，什么将取代它们，等等。
谷歌再次推迟了在Chrome中逐步淘汰第三方cookie的计划，将预期的开始时间从2024年底推迟到2025年初。这一决定受到英国竞争与市场管理局（CMA）等监管机构的持续监测和反馈的影响，使企业有更多的时间适应用户隐私是在线互动关键方面的未来。

对于营销人员和企业来说，这一延长的时间线是一个重新思考和完善其数字战略的机会，而不会感到恐慌。数字广告正在发展，要求在保持有效性的同时尊重用户隐私的新策略和解决方案。

本指南深入探讨了谷歌分阶段取消第三方cookie的影响，探讨了这对谷歌广告和更广泛的Chrome生态系统等工具意味着什么。

我们正在深入研究谷歌第三方cookie对数字广告的意义，谷歌逐步淘汰它们的时间表，以及这对谷歌广告和Chrome网络浏览器等平台的意义。

同源策略是一种浏览器安全功能，它限制一个源上的文档和脚本如何与另一源上的资源交互。

浏览器可以同时加载和显示来自多个站点的资源。您可能同时打开多个选项卡，或者一个网站可以嵌入来自不同网站的多个iframe。如果这些资源之间的交互没有限制，并且脚本被攻击者破坏，则脚本可能会暴露用户浏览器中的所有内容。

同源策略通过阻止对从不同源加载的资源的读取访问来防止这种情况发生。“但是等一下，”你说，“我一直从其他来源加载图像和脚本。”浏览器允许一些标签嵌入来自不同来源的资源。此策略主要是一个历史工件，可能会使您的网站暴露于使用iframe的点击劫持等漏洞。您可以使用内容安全策略限制这些标记的跨来源读取。

什么被认为是同源的？

origin 由schema（也称为协议，例如HTTP或HTTPS）、端口（如果已指定）和主机定义。当这三个URL对于两个URL都相同时，它们被认为是同源的。例如http://www.example.com/foo与同源http://www.example.com/bar但不是https://www.example.com/bar因为schema不同。

网络隐私沙盒将逐步淘汰第三方cookie通过使用最新的隐私技术，如

• 差异隐私，
• k-匿名性，
• 和设备上的处理。

隐私沙盒也有助于限制其他形式的跟踪，如指纹识别(fingerprinting)，通过限制网站可以访问的信息量，使您的信息保持隐私、安全和可靠。

网络隐私沙盒时间表

隐私沙盒提案正处于开发过程的各个阶段。这一时间表反映了我们预计新的隐私保护API和其他技术何时准备好支持关键用例，以便Chrome能够负责任地逐步淘汰第三方cookie。信息可能会发生变化，并将每月更新。

这些建议正在公共论坛上与行业成员合作制定。我们还将继续与英国竞争与市场管理局合作，履行我们对网络隐私沙盒的承诺。我们鼓励通过许多公众反馈渠道参与，为提案的制定提供信息。利益相关者也可以使用此表格直接与Chrome共享反馈。

隐私沙盒技术旨在让用户更私密地浏览网络和应用程序，同时为出版商、开发者和广告商提供他们业务所需的东西。了解更多关于隐私沙盒提案的信息，深入了解它们如何减少跨站点和跨应用程序跟踪。

什么是隐私沙盒？

隐私沙盒是一项全行业的努力，旨在开发新技术，改善人们在网络和安卓应用程序中的隐私。拟议的解决方案将限制对个人的跟踪，并为这些平台上的现有技术提供更安全的替代方案，同时保持对每个人的开放和访问。

人们应该能够享受他们的浏览和应用程序体验，而不必担心收集了什么个人信息以及由谁收集。隐私沙盒技术旨在使当前的跟踪机制过时，并阻止指纹等秘密跟踪技术。

关键隐私技术

主题API、受保护受众API和归因报告API是隐私沙盒的关键技术。它们取代了用于运行在线广告的不太私人的机制。企业仍然可以根据兴趣联系用户，了解他们的在线广告的表现，但用户有更好的隐私保护和对数据的更多控制。

主题API

主题API旨在保护隐私，同时显示相关内容和广告。它根据最近的浏览历史记录提供用户兴趣的高级信号，以帮助网站和应用程序提供相关广告。

探讨Chrome团队在实施CHIPS时面临的两个挑战，以及社区反馈如何在提案设计的演变中发挥关键作用。
 
Cookies Having Independent Partitioned State（CHIPS）是一种隐私沙盒技术，允许开发者将cookie选择到“分区”存储中，每个顶级网站都有单独的cookie罐。
CHIPS的示例用例包括跨站点子资源需要某些会话或持久状态概念的任何场景，这些概念的范围是用户在单个顶级站点上的活动，如第三方聊天小部件、地图嵌入、子资源CDN负载平衡、无头CMS提供方等。

CHIPS的开发目标是成为一个开放的网络标准。PrivacyCG正在对其进行讨论，并进行了为期7个月的原产地试验，在此期间，Chrome团队收到了有益的反馈。在开发过程中，团队与主要利益相关者合作，探索反馈，从而更新设计，更好地服务于网络生态系统。

让我们探讨一下Chrome团队在实施CHIPS时面临的两个挑战，以及社区反馈如何在提案设计的发展中发挥关键作用。

删除主机前缀且无域要求

为了鼓励良好的安全实践，CHIPS设计要求cookie只能由安全协议设置并通过安全协议发送，并且分区cookie必须使用secure设置。