Loading

2020 年 2 月發行的 Google Chrome 瀏覽器將變更 SameSite Cookie 行為,且可能會停止 Salesforce 整合

發佈日期: Oct 1, 2020
描述
Cookie 上的 SameSite 屬性控制其跨網域行為。此 Chrome Platform Status 說明 SameSite 屬性的用途。
「SameSite 是相當強大的防禦,可抵禦某些跨網站偽造要求 (CSRF) 攻擊的類別,但是目前開發人員需要透過指定 SameSite 屬性來選擇加入其保護。也就是說,在預設情況下,開發人員很容易受到 CSRF 攻擊。這項變更將使開發人員在預設情況下受到保護,同時使需要跨網站要求狀態的網站選擇加入當前較不安全的模型。」

若未指定 SameSite 屬性,Chrome 80 版會依預設將 Cookie 設為 SameSite=Lax。在 Chrome 80 版之前,預設為 SameSite=None。藉由明確設定 SameSite=None; Secure,開發人員仍可選擇加入不受限制的當前使用狀態。

如需詳細資訊,請參閱此 Chromium 部落格文章

如需 Chrome 80 版的時間表,請參閱 Google 的 SameSite 更新頁面


這對我有什麼影響?

1.Cookie 不適用於不安全 (HTTP) 的瀏覽器存取。請改為使用 HTTPS。
2.依賴 Cookie 的自訂整合可能不再適用於 Google Chrome。此變更特別影響但不限於自訂單一登入以及使用 iframe 的整合。


我需要採取哪些行動?

在 Chrome 80 版之前,請測試依賴您的整合所擁有和設定之 Cookie 的自訂 Salesforce 整合。若您找到任何迴歸,請更新用於跨網域溝通 Cookie 上的 SameSite 屬性以明確設定 SameSite=None; Secure

Chromium 部落格文章說明如何在您的網站或您管理的 Cookie 上測試 Chrome 行為,方法是在 Chrome 76+ 中瀏覽至 chrome://flags 並啟用「SameSite 依預設 Cookie」和「不具 SameSite 的 Cookie 必須安全」實驗。

請注意:當您在測試 Cookie 時,請考慮適用於每個 Cookie 的最安全 SameSite 值。若 Cookie 意圖僅限在第一方內容中存取,您可套用 SameSite=LaxSameSite=Strict 以避免外部存取。明確設定 SameSite=Lax 表示您不依賴預設的瀏覽器行為。


這對 Lightning Experience 和 Salesforce Classic 中的銷售和服務有什麼影響?

我們不斷努力改善網路的隱私權和安全性。我們正積極解決 Winter ’20 的已知問題,該問題與 Salesforce 所設定之 Cookie 上的 SameSite 屬性有關。當有新的資訊時,我們會更新此文章。


這對 B2C Commerce 有什麼影響?

如需為 Chrome SameSite 變更進行準備的步驟,請參閱 B2C Commerce 文件


資源

知識文章編號

000381201

 
正在載入
Salesforce Help | Article