เทคโนโลยี Privacy Sandbox บางอย่างกำลังจะเลิกใช้งาน

ดูข้อมูลอัปเดตเกี่ยวกับแผนสำหรับเทคโนโลยี Privacy Sandbox

สถานะฟีเจอร์ Privacy Sandbox ให้ข้อมูลเพิ่มเติมเกี่ยวกับสถานะของ API และฟีเจอร์แพลตฟอร์มแต่ละรายการ

แอตทริบิวต์คุกกี้

เมื่อเว็บเซิร์ฟเวอร์ตอบสนองต่อคำขอทรัพยากร เซิร์ฟเวอร์สามารถรวมส่วนหัว Set-Cookie ไว้ในการตอบสนองด้วย ส่วนหัวดังกล่าวจะบอกให้เบราว์เซอร์จัดเก็บคุกกี้

ตัวอย่างเช่น Set-Cookie:cat=tabby

นอกจากจะระบุชื่อและค่าคุกกี้แล้ว Set-Cookie ยังสามารถรวมแอตทริบิวต์เพื่อควบคุมว่าจะตั้งค่าคุกกี้หรือไม่ และคุกกี้จะหมดอายุเมื่อใด แอตทริบิวต์คุกกี้จะคั่นด้วยเครื่องหมายเซมิโคลอน เช่น

    Set-Cookie:cat=tabby; Secure; HTTPOnly; Expires=Tue, 31 Dec 2999 23:59:59 GMT;

เอกสารนี้อธิบายแอตทริบิวต์คุกกี้ที่สำคัญที่สุด

Secure
HTTPOnly
SameSite
Partitioned
Expires และ Max-Age
Domain
Path

การใช้คุกกี้ HTTP จะอธิบายแอตทริบิวต์คุกกี้ในรายละเอียดทางเทคนิคมากขึ้น

โดยค่าเริ่มต้น ให้ตั้งค่าคุกกี้ทั้งหมดเป็น Secure; HTTPOnly เป็นอย่างน้อย

Secure

หากส่วนหัว Set-Cookie มี Secure ระบบจะรวมคุกกี้ไว้กับคำขอที่เข้ารหัสซึ่งใช้โปรโตคอล HTTPS เท่านั้น โดยจะไม่รวมคุกกี้ไว้ในคำขอ HTTP ซึ่งจะช่วยหยุด การโจมตีแบบคนกลาง (Man-in-the-middle) ที่ผู้โจมตีจะเข้าแทรกแซงการสื่อสารระหว่าง เบราว์เซอร์กับเซิร์ฟเวอร์อย่างลับๆ เพื่อส่งต่อข้อมูลและอาจเปลี่ยนแปลงข้อมูลดังกล่าว

รวม Secure ไว้ในคุกกี้ทั้งหมดโดยค่าเริ่มต้น

คุกกี้ที่มีชื่อขึ้นต้นด้วย __Secure- หรือ __Host- ต้องมีแอตทริบิวต์ Secure และต้อง มาจากต้นทางที่ปลอดภัย (HTTPS) คุกกี้ที่มีคำนำหน้า __Host- ต้องมี Path เป็น / และต้องไม่มีแอตทริบิวต์ Domain ด้วย

ดูข้อมูลเพิ่มเติมได้ที่: คำนำหน้าคุกกี้

HTTPOnly

หากส่วนหัว Set-Cookie มี HTTPOnly JavaScript จะเข้าถึงคุกกี้ไม่ได้ เช่น โดยใช้ document.cookie ซึ่งจะช่วยป้องกันการโจมตีบางประเภทที่กำหนดเป้าหมายไปที่คุกกี้

รวม HTTPOnly ไว้ในคุกกี้ทั้งหมดโดยค่าเริ่มต้น ให้ละเว้นเฉพาะในกรณีที่คุณ ต้องการตั้งค่าและรับค่าคุกกี้โดยใช้ JavaScript

SameSite

คำขอทรัพยากรจากเว็บไซต์อื่นที่ไม่ใช่เว็บไซต์ที่คุณเข้าชมคือคำขอข้ามเว็บไซต์ คุกกี้ที่ตั้งค่าเพื่อตอบสนองต่อคำขอข้ามเว็บไซต์คือคุกกี้ของบุคคลที่สาม

แอตทริบิวต์ SameSite จะควบคุมว่าจะรวมคุกกี้ของบุคคลที่สามไว้ในคำขอหรือไม่ โดยมีค่าที่เป็นไปได้ 3 ค่า ได้แก่ Strict, Lax หรือ None

SameSite=Lax เป็นค่าเริ่มต้นหากไม่ได้ตั้งค่า SameSite=None อนุญาตคุกกี้ข้ามเว็บไซต์ แต่หมายความว่าระบบจะบล็อกคุกกี้ในกรณีที่มีข้อจำกัดเกี่ยวกับคุกกี้ของบุคคลที่สาม

ดูข้อมูลเพิ่มเติมได้ที่คุกกี้ของบุคคลที่สามคืออะไร

Strict

ระบบจะส่งคุกกี้เพื่อตอบสนองต่อคำขอจากหน้าเว็บที่อยู่ในเว็บไซต์ต้นทางของคุกกี้เท่านั้น ตัวอย่างเช่น ลองนึกภาพว่าผู้ใช้เข้าชม cats.example และมีการตั้งค่าคุกกี้ด้วยแอตทริบิวต์ SameSite=Strict ต่อมาผู้ใช้เข้าชมเว็บไซต์อื่นและคลิกลิงก์ไปยังหน้าเว็บใน cats.example ระบบจะไม่รวมคุกกี้ที่ตั้งค่าไว้ในคำขอนั้น

Lax

แอตทริบิวต์นี้ทำงานในลักษณะเดียวกับ Strict ยกเว้นว่าเบราว์เซอร์จะรวมคุกกี้ไว้ด้วยเมื่อผู้ใช้คลิกลิงก์ไปยังเว็บไซต์ต้นทางของคุกกี้ (ในตัวอย่าง Strict ก่อนหน้านี้ ระบบ จะ รวมคุกกี้ไว้เมื่อผู้ใช้คลิกลิงก์ไปยัง cats.example) Lax เป็นค่าเริ่มต้นหากไม่มีแอตทริบิวต์ SameSite ในส่วนหัว Set-Cookie

None

ไม่มีข้อจำกัด โดยระบบจะรวมคุกกี้ไว้กับคำขอ ไม่ว่าจะเป็นคำขอข้ามเว็บไซต์หรือไม่ก็ตาม เมื่อใช้ SameSite=None คุกกี้ต้องมีแอตทริบิวต์ Secure ด้วย

คุกกี้ของบุคคลที่สามอาจมาจากแหล่งที่มาต่อไปนี้

บุคคลที่สาม เช่น ตัวอย่างใน คุกกี้คืออะไร ซึ่ง analytics.example มีการรวม JavaScript ไว้ในเว็บไซต์ cats.example
เว็บไซต์อื่นที่เป็นของ "บุคคลที่หนึ่ง" เดียวกันกับเว็บไซต์ระดับบนสุด (เช่น iframe ของ cat-hire.example ที่รวมอยู่ใน cats.example)

คุกกี้ของบุคคลที่สาม ก็คือคุกกี้ข้ามเว็บไซต์ นั่นเอง

ส่วนต่างๆ ของ URL อธิบาย ความแตกต่างระหว่าง เว็บไซต์ โดเมน ต้นทาง และ โฮสต์

คุณลองใช้ URL ต่างๆ ในเครื่องมือที่ chrome.dev/url-parts/ เพื่อทำความเข้าใจว่าอะไรคือ "เว็บไซต์อื่น"

Partitioned

แอตทริบิวต์นี้ช่วยให้คุณเลือกใช้คุกกี้สำหรับพื้นที่เก็บข้อมูลที่แบ่งพาร์ติชัน โดยมี "โหลคุกกี้" แยกกันสำหรับเว็บไซต์ระดับบนสุดแต่ละเว็บไซต์ ระบบจะใช้คีย์ 2 รายการสำหรับคุกกี้ ได้แก่ เว็บไซต์ระดับบนสุดและโดเมนที่ตั้งค่าคุกกี้

ตัวอย่างเช่น ลองนึกภาพว่าทั้งเว็บไซต์ ก. และเว็บไซต์ ข. มี iframe จากเว็บไซต์ ค. iframe ในเว็บไซต์ ข. จะเข้าถึงคุกกี้ที่แบ่งพาร์ติชันซึ่ง iframe ในเว็บไซต์ ก. ตั้งค่าไว้ไม่ได้ เนื่องจากคุกกี้ ก.ค. แยกจากคุกกี้ ข.ค.

รวมแอตทริบิวต์ Partitioned ไว้โดยค่าเริ่มต้นหากคุณสร้างคุกกี้ของบุคคลที่สาม เว้นแต่คุณจะทราบอย่างชัดเจนว่าต้องแชร์คุกกี้ในหลายๆ การฝัง

แผนภาพแสดงว่าเว็บไซต์ 2 เว็บไซต์ที่แตกต่างกันซึ่งฝังบุคคลที่สามร่วมกันจะไม่แชร์คุกกี้สำหรับบุคคลที่สามนั้นอีกต่อไป — เมื่อมีการแบ่งพาร์ติชันคุกกี้ บริการของบุคคลที่สามที่ตั้งค่าคุกกี้เมื่อฝังอยู่ในเว็บไซต์ระดับบนสุดเว็บไซต์หนึ่งจะเข้าถึงคุกกี้เดียวกันนั้นไม่ได้เมื่อฝังบริการไว้ในเว็บไซต์ระดับบนสุดอื่นๆ

คุกกี้ที่มีแอตทริบิวต์ Partitioned เรียกว่า CHIPS หรือ Cookies Having Independent Partitioned State

คุกกี้ที่แบ่งพาร์ติชันต้องมีแอตทริบิวต์ Secure

รวมแอตทริบิวต์ Partitioned ไว้ทุกที่ที่ทำได้ การแบ่งพาร์ติชันคุกกี้ช่วยป้องกันข้อมูลรั่วไหล และช่วยให้เว็บไซต์อ่านและเขียนคุกกี้ในบริบทข้ามเว็บไซต์ เช่น iframe ได้เมื่อมีการบล็อกคุกกี้ของบุคคลที่สาม

ดูข้อมูลเพิ่มเติมได้ที่ Cookies Having Independent Partitioned State

Expires และ Max-Age

คุณสามารถระบุวันที่และเวลา Expires หรือ Max-Age เป็นวินาที ซึ่งหลังจากนั้นระบบควรลบคุกกี้และไม่ส่งคุกกี้อีกต่อไป ตัวอย่างเช่น

Set-Cookie:cat=tabby; Expires=Tue, 31 Dec 2999 23:59:59 GMT;
Set-Cookie:cat=tabby; Max-Age=86400

หากไม่ระบุแอตทริบิวต์ Max-Age หรือ Expires ระบบจะลบคุกกี้เมื่อเซสชันปัจจุบันสิ้นสุดลง คุกกี้ประเภทนี้บางครั้งเรียกว่าคุกกี้เซสชัน

ละเว้นแอตทริบิวต์ Max-Age และ Expires เว้นแต่คุณต้องการให้คุกกี้มีอายุการใช้งานนานกว่าเซสชันปัจจุบัน เบราว์เซอร์ จะทำให้คุกกี้หมดอายุ ดังนั้นจึงไม่ควร ตั้งค่าการหมดอายุเป็นปีๆ ในอนาคต แต่ให้พิจารณารีเฟรชคุกกี้เมื่อผู้ใช้กลับมาเข้าชมเว็บไซต์

ดูตัวอย่าง: คุกกี้ที่ตั้งค่าสำหรับ iframe ใน 1pc.glitch.me เป็นคุกกี้เซสชัน ส่วนคุกกี้ที่ตั้งค่าสำหรับรูปภาพมีการตั้งค่า Max-Age ทำตามขั้นตอนการสาธิตเพื่อดูวิธีดูแอตทริบิวต์และค่าคุกกี้ในเครื่องมือสำหรับนักพัฒนาเว็บใน Chrome

Domain

หากส่วนหัว Set-Cookie มีแอตทริบิวต์ Domain ระบบจะรวมคุกกี้ไว้กับคำขอที่ส่งไปยังโดเมนที่ระบุและโดเมนย่อยของโดเมนนั้น

หากส่วนหัว Set-Cookie ไม่มีแอตทริบิวต์ Domain ระบบจะไม่รวมคุกกี้ไว้กับคำขอที่ส่งไปยังโดเมนย่อย

กล่าวอีกนัยหนึ่งคือ การรวมแอตทริบิวต์ Domain จะเป็นการลด ข้อจำกัดของโดเมน

ตัวอย่างเช่น เมื่อมีการตอบสนองจากเว็บไซต์ cats.example

Set-Cookie:cat=tabby
ระบบจะรวมคุกกี้ไว้กับคำขอที่ส่งไปยัง cats.example เท่านั้น
Set-Cookie:cat=tabby; Domain=cats.example
ระบบจะรวมคุกกี้ไว้กับคำขอที่ส่งไปยัง cats.example รวมถึงคำขอ ทรัพยากรในโดเมนย่อย เช่น fluffy.cats.example หรือ user.assets.cats.example

อย่ารวมแอตทริบิวต์ Domain ไว้ เว้นแต่คุณต้องการให้ระบบรวมคุกกี้ไว้กับคำขอที่ส่งไปยังโดเมนย่อย

Path

หากรวมแอตทริบิวต์ Path ไว้ในส่วนหัวการตอบกลับ Set-Cookie ระบบจะรวมคุกกี้ที่ตั้งค่าไว้ในคำขอที่ส่งไปยัง URL (ในเว็บไซต์ที่ตั้งค่าคุกกี้!) ซึ่งตรงกับค่า Path เท่านั้น

ตัวอย่างเช่น

Set-Cookie:cat=tabby; Path=/articles
ระบบจะรวมคุกกี้ไว้สำหรับคำขอที่ส่งไปยังเส้นทาง URL ใดก็ตามที่ขึ้นต้นด้วย /articles:
✅ https://cats.example/articles/tabby/index.html
✅ https://cats.example/articles/breeds/tabby/index.html
❎ https://cats.example/images/tabby.jpg
❎ https://cats.example/en/articles/tabby/index.html
Set-Cookie:cat=tabby; Path=/
คำขอทั้งหมดที่ส่งไปยัง URL ใดก็ตามในเว็บไซต์จะรวมคุกกี้ไว้ด้วย

หากส่วนหัวการตอบกลับ Set-Cookie ไม่มีค่า Path ระบบจะรวมคุกกี้ไว้กับคำขอที่ส่งไปยังไดเรกทอรีเดียวกันเท่านั้น ตัวอย่างเช่น ลองนึกภาพว่า มีการตั้งค่าคุกกี้ cat=tabby เพื่อตอบสนองต่อคำขอ cats.example/images/tabby.jpg. หากไม่ได้ตั้งค่า Path ระบบจะรวมคุกกี้ไว้กับคำขอที่ส่งไปยังไฟล์ภายในไดเรกทอรี cats.example/images เท่านั้น

รวม Path=/ ไว้กับคุกกี้หากคุณต้องการให้คำขอทั้งหมดที่ส่งไปยังเส้นทางใดก็ตามในเว็บไซต์รวมคุกกี้ไว้ด้วย อย่าใช้ Path เพื่อการปกป้องความปลอดภัย

ดูตัวอย่าง: ใช้เครื่องมือสำหรับนักพัฒนาเว็บใน Chrome เพื่อตรวจสอบผลของ Path ในคุกกี้ ที่ตั้งค่าสำหรับ 1pc.glitch.me คุกกี้ที่รวมไว้กับลูกแมวไม่มีการตั้งค่าเส้นทาง ส่วน iframe มี Path=/

การสาธิต

1pc.glitch.me: การสาธิตคุกกี้ของบุคคลที่หนึ่ง
3pc.glitch.me: การสาธิตคุกกี้ของบุคคลที่สาม