各大主流瀏覽器正在逐步禁用 三方Cookie ，之前筆者也在下面這篇文章中分析了全面禁用 三方Cookie 后對我們的網(wǎng)站帶來的一些影響：

當(dāng)瀏覽器全面禁用三方 Cookie

但是一個公司或組織往往在不同業(yè)務(wù)下會有多個不同的域名，例如 taobao.com、tianmao.com，所以很多正常的業(yè)務(wù)場景也許要借助 三方Cookie 來實現(xiàn)（比如 單點登錄和 consent管理），直接禁用后可能會給我們的業(yè)務(wù)帶來很大影響，而且之前一直以來都沒有很好的解決方案，這也是 Chrome 禁用 三方Cookie 進展非常緩慢的原因。

在 第一方Cookie 和 第三方Cookie 被區(qū)別對待的情況下，Chrome 新推出了一個 First-Party Sets 策略，它可以允許由同一實體擁有的不同關(guān)域名都被視為第一方。

這意味著我們可以標(biāo)記打算在同一方上下文共享 Cookie 的不同域名，目的是在防止第三方跨站點跟蹤和仍然保持正常的業(yè)務(wù)場景下之間找到平衡。

    目前 First-Party Sets 策略還沒有正式在穩(wěn)定版推出，還在試用階段。

一方和三方 Cookie 的區(qū)別

可能很多小伙伴對 三方Cookie 的概念還比較模糊，我們先來回顧一下：

Cookie 本質(zhì)上不區(qū)分第一方或第三方，它取決于包含 Cookie 的當(dāng)前上下文。我們還用之前的老例子：

如果是你正常的正在逛著天貓，天貓會把你的信息寫入一些 Cookie 到 .tmall.com 這個域下，然而打開控制臺你會看到，并不是所有 Cookie 都是 .tmall.com 這個域下的，里面還有很多其他域下的 Cookie ，這些所有非當(dāng)前域下的 Cookie 都屬于第三方 Cookie，雖然你可能從來沒訪問過這些域，但是他們已經(jīng)悄悄的通過這些第三方 Cookie來標(biāo)識你的信息，然后把你的個人信息發(fā)送過去了。

而 .tmall.com 這個域下的 Cookie 都屬于第一方 Cookie，那么為什么還需要第三方 Cookie 呢？再打開 taobao.com，你會發(fā)現(xiàn)你已經(jīng)不需要再登錄了，因為淘寶、天貓都屬于阿里旗下的產(chǎn)品，阿里為他們提供統(tǒng)一的登錄服務(wù)，同時，你的登錄信息也會存到這個統(tǒng)一登錄服務(wù)的域下，所以存到這個域下的 Cookie 就成了三方 Cookie。

SameSite 的問題

Chrome 在之前的版本為 Cookie 新增了一個 SameSite 屬性 來限制三方 Cookie 的訪問，在 Chrome 80 版本后 SameSite 的默認(rèn)值被設(shè)定為 SameSite=Lax。

在 Strict 模式下，將阻止所有三方 Cookie 攜帶，這種設(shè)置基本可以阻止所有 CSRF 攻擊，然而，它的友好性太差，即使是普通的 GET 請求它也不允許通過。

在 Lax 模式下只會阻止在使用危險 HTTP 方法進行請求攜帶的三方 Cookie，例如 POST 方式。同時，使用 JavaScript 腳本發(fā)起的請求也無法攜帶三方 Cookie。

但是，試用上面兩種模式，我們上面提到的一些正常的需求場景就無法實現(xiàn)了，對于這種 Cookie ，我們現(xiàn)在一般會手動設(shè)置 SameSite=None 。

這意味著這種 Cookie 又失去了跨站點請求偽造 (CSRF) 保護，例如在 evil.site 發(fā)送一個 me.site 的請求，也會帶上我們的 Cookie。

First-Party Sets 策略

在上面正常的業(yè)務(wù)場景中，所有不同的域名基本上都來自同一個組織或企業(yè)，我們希望在同一個運營主體下不同域名的 Cookie 也能共享。

First-Party Sets 可以定義跨站點上下文仍然是 first-party 的情況。Cookie 可以包含在第一方集合中，也可以排除在第三方上下文中。

First-Party Sets 提出了一種明確定義在同一主體下?lián)碛泻瓦\營的多個站點關(guān)系的方法。比如 .tmall.com、taobao.com 都可以被定義為同一主體運營 。

這個策略來源于瀏覽器的隱私沙提案中對身份進行分區(qū)以防止跨站點跟蹤的概念，在站點之間劃定界限，限制對可用于識別用戶的任何信息的訪問。

瀏覽器的默認(rèn)行為是對同一站點進行分區(qū)，上面這個新的策略意味著分區(qū)被可以開放為多個站點。

First-Party Sets 策略的一個重要部分是確保跨瀏覽器的政策防止濫用或誤用。例如，F(xiàn)irst-Party Sets 策略不得在不相關(guān)的站點之間交換用戶信息，或?qū)Σ粚儆谕粚嶓w的站點進行分組。

所以單點登錄這種場景可能是不能用這種方式解決了，因為這個場景屬于交換用戶信息，目前怎么界定哪些信息是用戶信息官方還沒有明確的描述，所以這個地方筆者也不是很確定。

W3C 目前正在討論新的 First-Party Sets 的配置和驗證，其中一個考慮的選項是由獨立實體而非瀏覽器公司處理驗證。

目前 First-Party Sets 已經(jīng)確定的原則如下：

•  First-Party Sets 中的域必須由同一組織擁有和運營。
•  所有域名應(yīng)該作為一個組被用戶識別。
•  所有域名應(yīng)該共享一個共同的隱私政策。

如何定義 First-Party Sets

每一個需要用到 First-Party Sets 策略的域名都應(yīng)該把一個 JSON 配置托管在 /.well-known/first-party-set 路由下。

例如 conardli.top 的配置應(yīng)該托管在 https://conardli.top/.well-known/first-party-set 下： 

{  
  "owner": "conardli.top",  
  "version": 1,  
  "members": ["conardli.com", "conardli.cn"]  
} 

另外 conardli.com、 conardli.cn 兩個域名均需要增加所有者的配置： 

{  
  "owner": "conardli.top"  
} 

First-Party Sets 還有一些限制：

•  一個集合可能只有一個所有者。
•  一個成員只能屬于一個集合，不能重疊或混合。
•  域名列表不要過大。

SameParty 屬性

好了，上面介紹了一大堆，終于回到本文的主題 Cookie SameParty 屬性了，這個屬性就是為了配合 First-Party Sets 使用的。

所有開啟了 First-Party Sets 域名下需要共享的 Cookie 都需要增加 SameParty 屬性，例如，如果我在 conardli.top 下設(shè)置了下面的 Cookie ： 

Set-Cookie: name=lishiqi; Secure; SameSite=Lax; SameParty 

這時我在 conardli.cn 下發(fā)送 conardli.top 域名的請求，Cookie 也可以被攜帶了，但是如果我在另外一個網(wǎng)站，例如 eval.site 下發(fā)送這個請求， Cookie 就不會被攜帶。

在 SameParty 被廣泛支持之前，你可以把它和 SameSite 屬性一起定義來確保 Cookie 的行為降級，另外還有一些額外的要求：

•  SameParty Cookie 必須包含 Secure.
•  SameParty Cookie 不得包含 SameSite=Strict.

如何試用？

在瀏覽器禁用三方 Cookie 后，這個新的提案應(yīng)該會被大范圍的使用，現(xiàn)在可以先試用起來啦！

你可以在下面兩個地方參與提案的討論：

•  First-Party Sets 策略討論：https://github.com/privacycg/first-party-sets
• SameParty 屬性討論：https://github.com/cfredric/sameparty

現(xiàn)在提案還在試用階段，你可以試用 --use-first-party-set 這個命令啟動 Chrome ，就可以進行試用啦！

比如，在示例站 https://fps-member1.glitch.me/ 添加如下配置： 

--use-first-party-set=https://fps-member1.glitch.me,https://fps-member2.glitch.me,https://fps-member3.glitch.me 

參考

•  https://www.chromestatus.com/feature/5280634094223360
•  https://github.com/cfredric/sameparty
•  https://developer.chrome.com/blog/first-party-sets-sameparty/