Loading

En Google Chrome-nettleserutgave i februar 2020 vil endre virkemåten til SameSite-informasjonskapsler og kan bryte Salesforce-integrasjoner

Publiseringsdato: Oct 1, 2020
Beskrivelse
SameSite-attributtet til en informasjonskapsel styrer virkemåten på tvers av domener. Denne Chrome Platform Status-meldingen forklarer hensikten med SameSite-attributtet.
"SameSite er et rimelig robust mot noen klasser av CSRF-angrep (Cross-Site Request Forgery), men utviklere har nå behov for å velge å delta i forsvaret ved å angi et SameSite-attributt. Utviklere er med andre ord sårbare for CSRF-angrep som standard. Denne endringen vil gjøre det mulig for utviklere å være beskyttet som standard, samtidig som nettsteder som krever tilstand i forespørsler på tvers av domener, kan velge den nåværende mindre sikre modellen."

Hvis intet SameSite-attributt blir angitt, angir Chrome 80-utgaven at informasjonskapsler er SameSite=Lax som standard. Forut for Chrome 80-utgivelsen var standardverdien SameSite=None. Utviklere kan fremdeles velge å beholde den nåværende usikre bruken ved eksplisitt å angi SameSite=None; Secure.

Se dette Chromium-blogbinnlegget for å få mer informasjon.

Se Google-siden om SameSite-oppdateringer angående tidsskjemaet for Chrome 80-utgivelsen.


Hva betyr dette for meg?

1. Informasjonskapsler vil ikke fungere ved usikker nettlesertilgang (HTTP). Bruk HTTPS i stedet.
2. Eventuelle tilpassede integrasjoner som benytter informasjonskapsler, vil kanskje ikke fungere i Google Chrome lenger. Denne endringen vil spesielt berøre – men er ikke begrenset til – tilpasset enkeltpålogging, og integrasjoner som benytter iframes.


Hva må jeg gjøre?

Før Chrome 80-utgivelsen bør du teste eventuelle tilpassede Salesforce-integrasjoner som benytter informasjonskapsler som eies og angis av integrasjonen. Hvis du finner noen regresjoner, oppdaterer du SameSite-attributtet til informasjonskapsler som brukes til kommunikasjon på tvers av domener, slik at det eksplisitt angir SameSite=None; Secure.

Dette Chromium-blogginnlegget forklarer hvordan du tester den nye Chrome-virkemåten for nettstedet eller informasjonskapsler du administrerer, ved å navigere til chrome://flags i Chrome 76+ og aktivere eksperimentene "SameSite by default cookies" og "Cookies without SameSite must be secure".

Merk: Når du tester informasjonskapslene, vurderer du hva som er den sikreste SameSite-verdien som fungerer for hver informasjonskapsel. Hvis en informasjonskapsel bare er tenkt brukt i førstepartskontekst, kan du bruke SameSite=Lax eller SameSite=Strict for å hindre ekstern tilgang. Det å angi SameSite=Lax eksplisitt betyr at du ikke stoler på virkemåten til standardnettleseren.


Hva betyr dette for Sales og Service i Lightning Experience og Salesforce Classic?

Vi støtter det pågående arbeidet med å forbedre personvernet og sikkerheten på nettet. Vi arbeider aktivt for å løse kjente problemer med Winter '20-utgivelsen relatert til SameSite-attributtet for informasjonskapsler som angis av Salesforce. Vi vil oppdatere denne artikkelen når det dukker opp ny informasjon.


Hva betyr dette for B2C Commerce?

Se B2C Commerce-dokumentasjonen angående fremgangsmåten for å forberede SameSite-endringene i Chrome.


Ressurser

Knowledge-artikkelnummer

000381201

 
Laster
Salesforce Help | Article