Loading

Utgåvan av webbläsaren Google Chrome i februari 2020 ändrar beteende för SameSite-cookies och kan bryta Salesforce-integreringar

Publiceringsdatum: Oct 1, 2020
Beskrivning
Attributet SameSite i en cookie styr dess beteende mellan domäner. Denna Chrome Platform Status förklarar syftet med attributet SameSite .
“SameSite är ett ganska robust försvar mot vissa klasser av attacker över olika webbplatser (Cross-Site Request Forgery, CSRF), men utvecklare måste för närvarande välja att skydda sig genom att ange ett SameSite-attribut. Med andra ord är utvecklare som standard sårbara för CSRF-attacker. Denna ändring gör det möjligt för utvecklare att vara skyddade som standard, samtidigt som webbplatser som kräver tillstånd i begäranden över olika webbplatser väljer att delta i den nuvarande mindre säkra modellen.”

Om inget SameSite-attribut specificeras anger utgåvan Chrome 80 cookies som SameSite=Lax som standard. Innan utgåvan Chrome 80 är standarden SameSite=None. Utvecklare kan fortfarande välja att den nuvarande obegränsade användning genom att uttryckligen ange SameSite=None; Secure.

För mer information, se detta Chromium-blogginlägg.

För tidslinjen för utgåvan Chrome 80, se Googles sida SameSite Updates.


Vad innebär detta för mig?

1. Cookies kommer inte att fungera för icke-säker webbläsaråtkomst (HTTP). Använd HTTPS istället.
2. Egna integreringar som förlitar sig på cookies kanske inte längre fungerar i Google Chrome. Denna förändring påverkar framförallt, men är inte begränsad till, egen enkel inloggning, och integreringar som använder iframes.


Vad behöver jag göra?

Innan utgåvan Chrome 80 testa alla eventuella egna Salesforce-integreringar som förlitar sig på cookies som ägs och anges av din integrering. Om du hittar några regressioner, uppdatera attributet SameSite för cookies som används för kommunikation mellan domäner för att uttryckligen angeSameSite=None; Secure.

Detta Chromium-blogginlägg förklarar hur du kan testa effekten av det nya Chrome-beteendet på din webbplats eller cookies som du hanterar genom att gå till chrome://flags i Chrome 76+ och aktivera experimenten “SameSite by default cookies” och “Cookies without SameSite must be secure”.

Obs: När du testar dina cookies, överväg vad som är det säkraste SameSite-värdet som fungerar för varje cookie. Om en cookie är avsedd för åtkomst endast i ett första-part-sammanhang kan du tillämpa SameSite=Lax eller SameSite=Strict för att förhindra extern åtkomst. Att uttryckligen ange SameSite=Lax innebär att du inte förlitar dig på standardbeteende för webbläsare.


Vad innebär detta för försäljning och service i Lightning Experience och Salesforce Classic?

Vi stödjer den pågående ansträngningen för att förbättra sekretess och säkerhet på hela webben. Vi arbetar aktivt med att lösa de kända problemen med utgåvan Winter ’20 som är relaterade till attributet SameSite för cookies som anges av Salesforce. Vi kommer att uppdatera denna artikel om ny information uppkommer.


Vad innebär detta för B2C Commerce?

För att se stegen för att förbereda för Chromes förändringar för SameSite, se B2C Commerce-dokumentationen.


Resurser

Knowledge-artikelnummer

000381201

 
Laddar
Salesforce Help | Article