Loading

Google Chrome-browserudgaven i februar 2020 ændrer funktionen af SameSite-cookien og kan afbryde Salesforce-integrationer

Udgivelsesdato: Oct 1, 2020
Beskrivelse
SameSite-attributten på en cookie styrer dens krydsdomæneadfærd. Denne Chrome Platform Status forklarer hensigten for SameSite-attributten.
"SameSite er et rimeligt robust forsvar over for nogle klasser af CSRF-angreb (cross-site request forgery), men udviklere skal på nuværende tidspunkt tilvælge dets beskyttelser ved at angive en SameSite-attribut. Udviklere er med andre ord som standard sårbare over for CSRF-angreb. Denne ændring gør det muligt for udviklere som standard at være beskyttede og samtidig tillade sites, der kræver tilstanden i krydssiteanmodninger, at tilvælge status quo's mindre sikre model."

Hvis der ingen SameSite-attribut angives, indstiller Chrome 80-udgaven cookies som SameSite=Lax som standard. Før Chrome 80-udgaven er standarden SameSite=None. Udviklere kan stadig tilvælge status quo af den ubegrænsede anvendelse ved eksplicit at indstille SameSite=None; Secure.

Yderligere oplysninger findes i dette Chromium-blogindlæg.

Hvis du vil se en tidslinje for Chrome 80-udgaven, kan du se Googles side om SameSite-opdateringer.


Hvad betyder det for mig?

1. Cookies vil ikke fungere for ikke-sikret (HTTP) browseradgang. Brug i stedet HTTPS.
2. Alle tilpassede integrationer, der er afhængige af cookies, fungerer muligvis ikke længere i Google Chrome. Denne ændring påvirker især – men er ikke begrænset til – tilpasset single sign-on og integrationer, der bruger iframes.


Hvad skal jeg gøre?

Før udgivelsen af Chrome 80 bør du teste alle tilpassede Salesforce-integrationer, der er afhængige af cookies, der er ejet og angivet af din integration. Hvis du finder nogen regressioner, skal du opdatere SameSite-attributten på cookies, der bruges til krydsdomænekommunikation til eksplicit at angive SameSite=None; Secure.

Dette Chromium-blogindlæg forklarer, hvordan du tester effekten af den nye Chrome-adfærd på dit site eller cookies, du administrerer, ved at navigere til chrome://flags i Chrome 76+ og aktivere "SameSite by default cookies"- og "Cookies without SameSite must be secure"-eksperimenterne.

Bemærk: Når du tester dine cookies, skal du overveje, hvad der er den mest sikre SameSite-værdi, der fungerer for hver cookie. Hvis en cookie kun er beregnet til at få adgang i førstepartskontekst, kan du anvende SameSite=Lax eller SameSite=Strict for at forhindre ekstern adgang. Eksplicit indstilling af SameSite=Lax betyder, at du ikke er afhængig af standardbrowseradfærd.


Hvad betyder det for Sales og Service i Lightning Experience og Salesforce Classic?

Vi understøtter de løbende bestræbelser på at forbedre anonymitet og sikkerhed på internettet. Vi arbejder aktivt på at løse kendte problemer med Winter '20. som er relateret til SameSite-attributten på cookies, der er angivet af Salesforce. Vi opdaterer denne artikel, når der kommer nye oplysninger.


Hvad betyder det for B2C Commerce?

Hvis du ønsker oplysninger om trin til at forberede dig på Chromes SameSite-ændringer, kan du se B2C Commerce-dokumentationen.


Ressourcer

Vidensartikelnummer

000381201

 
Indlæser
Salesforce Help | Article