หน้านี้ได้รับการแปลโดย Cloud Translation API

แอตทริบิวต์คุกกี้

เมื่อเว็บเซิร์ฟเวอร์ตอบกลับคำขอทรัพยากร เซิร์ฟเวอร์จะรวมส่วนหัว Set-Cookie ไว้ในการตอบกลับได้ ส่วนหัวดังกล่าวจะบอกให้เบราว์เซอร์ จัดเก็บคุกกี้ ตัวอย่างเช่น Set-Cookie:cat=tabby คุกกี้คืออะไร อธิบายวิธีการทำงานของคุกกี้

นอกเหนือจากการระบุชื่อและค่าคุกกี้แล้ว Set-Cookie ยังสามารถรวมแอตทริบิวต์เพื่อควบคุมว่าจะตั้งค่าคุกกี้หรือไม่ และเมื่อคุกกี้หมดอายุ โดยคั่นแอตทริบิวต์คุกกี้ด้วยเครื่องหมายเซมิโคลอน เช่น

    Set-Cookie:cat=tabby; Secure; HTTPOnly; Expires=Tue, 31 Dec 2999 23:59:59 GMT;

เอกสารนี้อธิบายแอตทริบิวต์คุกกี้ที่สำคัญที่สุด

ปลอดภัย
HTTPOnly
SameSite
แบ่งพาร์ติชัน
Expires และ Max-Age
โดเมน
เส้นทาง

การใช้คุกกี้ HTTP อธิบายแอตทริบิวต์คุกกี้ในรายละเอียดทางเทคนิคเพิ่มเติม

โดยค่าเริ่มต้น ให้ตั้งค่าคุกกี้ทั้งหมดเป็น Secure; HTTPOnly เพื่อให้เป็นไปตามข้อกำหนดขั้นต่ำ

แบบปลอดภัย

หากส่วนหัว Set-Cookie มี Secure ระบบจะรวมคุกกี้เฉพาะกับคำขอที่เข้ารหัสซึ่งใช้โปรโตคอล HTTPS เท่านั้น โดยจะไม่รวมคุกกี้ในคำขอ HTTP ซึ่งจะช่วยหยุดการโจมตีแบบคนกลาง ที่ผู้โจมตีแอบแทรกแซงการสื่อสารระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ เพื่อส่งต่อข้อมูลและอาจเปลี่ยนแปลงข้อมูลนั้น

รวม Secure โดยค่าเริ่มต้นสำหรับคุกกี้ทั้งหมด

คุกกี้ที่มีชื่อขึ้นต้นด้วย __Secure- หรือ __Host- ต้องมีแอตทริบิวต์ Secure และต้องมาจากต้นทางที่ปลอดภัย (HTTPS) คุกกี้ที่มีคำนำหน้า __Host- ต้องมี Path ของ / และต้องไม่มีแอตทริบิวต์ Domain

ดูข้อมูลเพิ่มเติม: คำนำหน้าคุกกี้

HTTPOnly

หากส่วนหัว Set-Cookie มี HTTPOnly JavaScript จะเข้าถึงคุกกี้ไม่ได้ เช่น โดยใช้ document.cookie ซึ่งจะช่วยป้องกันการโจมตีบางประเภท ที่กำหนดเป้าหมายเป็นคุกกี้

รวม HTTPOnly โดยค่าเริ่มต้นสำหรับคุกกี้ทั้งหมด ละเว้นเฉพาะในกรณีที่คุณ ต้องตั้งค่าและรับค่าคุกกี้โดยใช้ JavaScript

SameSite

คำขอทรัพยากรจากเว็บไซต์ที่แตกต่างจากเว็บไซต์ที่คุณกำลังเข้าชมคือคำขอข้ามเว็บไซต์ คุกกี้ที่ตั้งค่าเพื่อตอบสนองต่อคำขอข้ามเว็บไซต์ คือคุกกี้ของบุคคลที่สาม

แอตทริบิวต์ SameSite ควบคุมว่าจะรวมคุกกี้ของบุคคลที่สามไว้ในคำขอหรือไม่ โดยมีค่าที่เป็นไปได้ 3 ค่า ได้แก่ Strict, Lax หรือ None

SameSite=Lax เป็นค่าเริ่มต้นหากไม่ได้ตั้งค่าใดๆ SameSite=None อนุญาตคุกกี้ข้ามเว็บไซต์ แต่หมายความว่าจะมีการบล็อกคุกกี้ในกรณีที่มีการจำกัดคุกกี้ของบุคคลที่สาม

ดูข้อมูลเพิ่มเติม: คุกกี้ของบุคคลที่สามคืออะไร

เข้มงวด

ระบบจะส่งคุกกี้ในการตอบกลับคำขอจากหน้าเว็บที่อยู่ในเว็บไซต์ต้นทางของคุกกี้เท่านั้น ตัวอย่างเช่น สมมติว่าผู้ใช้เข้าชม cats.example และมี คุกกี้ที่ตั้งค่าด้วยแอตทริบิวต์ SameSite=Strict ต่อมาผู้ใช้เข้าชมเว็บไซต์อื่นและคลิกลิงก์ไปยังหน้าเว็บใน cats.example ระบบจะไม่รวมคุกกี้ ที่ตั้งค่าไว้ในคำขอดังกล่าว

LAX

โดยจะทำงานในลักษณะเดียวกับ Strict เพียงแต่เบราว์เซอร์จะรวมคุกกี้ด้วยเมื่อผู้ใช้คลิกลิงก์ไปยังเว็บไซต์ต้นทางของคุกกี้ (ในตัวอย่าง Strict ก่อนหน้า ระบบจะรวมคุกกี้เมื่อผู้ใช้คลิกลิงก์ไปยัง cats.example) Lax เป็นค่าเริ่มต้น หากไม่มีแอตทริบิวต์ SameSite ในส่วนหัว Set-Cookie

ไม่มี

ไม่มีข้อจำกัด: ระบบจะรวมคุกกี้ไว้ในคำขอ ไม่ว่าจะเป็นแบบข้ามเว็บไซต์หรือไม่ก็ตาม เมื่อใช้ SameSite=None คุกกี้ต้องมีแอตทริบิวต์ Secure ด้วย

คุกกี้ของบุคคลที่สามอาจมาจากแหล่งที่มาต่อไปนี้

บุคคลที่สาม เช่น ตัวอย่างในคุกกี้คืออะไร ซึ่งมี analytics.example JavaScript อยู่ในเว็บไซต์ cats.example
เว็บไซต์อื่นที่เป็นของ "บุคคลที่หนึ่ง" เดียวกันกับเว็บไซต์ระดับบนสุด (เช่น iframe cat-hire.example ที่รวมอยู่ใน cats.example)

คุกกี้ของบุคคลที่สามคือคุกกี้ข้ามเว็บไซต์จริงๆ

ส่วนต่างๆ ของ URL คืออะไร อธิบาย ความแตกต่างระหว่างเว็บไซต์ โดเมน ต้นทาง และโฮสต์

คุณลองใช้ URL ต่างๆ ในเครื่องมือได้ที่ chrome.dev/url-parts/ เพื่อทำความเข้าใจว่าอะไรคือ "เว็บไซต์อื่น"

แบ่งพาร์ติชันแล้ว

แอตทริบิวต์นี้ช่วยให้คุณเลือกใช้คุกกี้ในพื้นที่เก็บข้อมูลที่แบ่งพาร์ติชัน โดยมี "กระปุกคุกกี้" แยกต่างหากต่อเว็บไซต์ระดับบนสุด คุกกี้จะได้รับการคีย์ 2 ครั้งโดยเว็บไซต์ระดับบนสุด รวมถึงโดเมนที่ตั้งค่าคุกกี้

ตัวอย่างเช่น สมมติว่าเว็บไซต์ ก และเว็บไซต์ ข มี iframe จาก เว็บไซต์ ค iframe ในเว็บไซต์ A ไม่สามารถเข้าถึงคุกกี้ที่แบ่งพาร์ติชันซึ่งตั้งค่าโดย iframe ในเว็บไซต์ B ได้ เนื่องจากคุกกี้ AC แยกจากคุกกี้ BC

รวมแอตทริบิวต์ Partitioned โดยค่าเริ่มต้นหากคุณสร้างคุกกี้ของบุคคลที่สาม เว้นแต่คุณจะทราบอย่างชัดเจนว่าต้องแชร์ในหลายๆ ฝัง

แผนภาพแสดงว่าเว็บไซต์ 2 เว็บไซต์ที่แตกต่างกันซึ่งฝังบุคคลที่สามร่วมกันจะไม่แชร์คุกกี้สำหรับบุคคลที่สามนั้นอีกต่อไป — เมื่อใช้การแบ่งพาร์ติชันคุกกี้ บริการของบุคคลที่สามที่ตั้งค่าคุกกี้เมื่อฝังในเว็บไซต์ระดับบนสุดหนึ่งๆ จะไม่สามารถเข้าถึงคุกกี้เดียวกันนั้นได้เมื่อฝังบริการในเว็บไซต์ระดับบนสุดอื่นๆ

คุกกี้ที่มีแอตทริบิวต์ Partitioned เรียกว่า CHIPS ซึ่งย่อมาจาก Cookies Having Independent Partitioned State

คุกกี้ที่แบ่งพาร์ติชันต้องมีแอตทริบิวต์ Secure

ระบุแอตทริบิวต์ Partitioned ทุกที่ที่ทำได้ การแบ่งพาร์ติชันคุกกี้จะช่วยป้องกันไม่ให้ข้อมูลรั่วไหล และช่วยให้เว็บไซต์ อ่านและเขียนคุกกี้ในบริบทข้ามเว็บไซต์ เช่น iframe เมื่อ มีการบล็อกคุกกี้ของบุคคลที่สาม

ดูข้อมูลเพิ่มเติมได้ที่ Cookies Having Independent Partitioned State

Expires และ Max-Age

คุณระบุExpiresวันที่และเวลาExpiresหรือMax-Ageระยะเวลาเป็นวินาทีMax-Ageหลังจากที่ควรลบคุกกี้และไม่ส่งอีกต่อไปได้ เช่น

Set-Cookie:cat=tabby; Expires=Tue, 31 Dec 2999 23:59:59 GMT;
Set-Cookie:cat=tabby; Max-Age=86400

หากคุณไม่ระบุแอตทริบิวต์ Max-Age หรือ Expires ระบบจะลบคุกกี้เมื่อเซสชันปัจจุบันสิ้นสุดลง คุกกี้ประเภทนี้บางครั้งเรียกว่าคุกกี้เซสชัน

เว้นแอตทริบิวต์ Max-Age และ Expires ไว้ เว้นแต่ คุณต้องการให้คุกกี้มีอายุยาวนานกว่าเซสชันปัจจุบัน เบราว์เซอร์จะหมดอายุคุกกี้ ดังนั้นจึงไม่มีประโยชน์ที่จะ ตั้งค่าวันหมดอายุในอีกหลายปีข้างหน้า แต่ให้พิจารณารีเฟรช คุกกี้เมื่อผู้ใช้กลับมาที่เว็บไซต์

ดูการทำงาน: คุกกี้ที่ตั้งค่าไว้สำหรับ iframe ใน 1pc.glitch.me คือคุกกี้เซสชัน ส่วนคุกกี้ที่ตั้งค่าไว้สำหรับรูปภาพมีค่า Max-Age ทำตาม ขั้นตอนการสาธิตเพื่อดูวิธีดูแอตทริบิวต์และค่าคุกกี้ใน Chrome DevTools

โดเมน

หากส่วนหัว Set-Cookie มีแอตทริบิวต์ Domain ระบบจะรวมคุกกี้ไว้กับคำขอไปยังโดเมนที่ระบุและโดเมนย่อยทั้งหมดของโดเมนนั้น

หากส่วนหัว Set-Cookie ไม่มีแอตทริบิวต์ Domain ระบบจะไม่รวมคุกกี้ไว้ในคำขอไปยังโดเมนย่อย

กล่าวคือ การรวมแอตทริบิวต์ Domain จะลดการจำกัดโดเมน

เช่น เมื่อได้รับคำตอบจากเว็บไซต์ cats.example

Set-Cookie:cat=tabby
ระบบจะรวมคุกกี้ไว้กับคำขอที่ส่งไปยัง cats.example เท่านั้น
Set-Cookie:cat=tabby; Domain=cats.example
ระบบจะรวมคุกกี้ไว้ในคำขอไปยัง cats.example รวมถึงคำขอสำหรับ ทรัพยากรในโดเมนย่อย เช่น fluffy.cats.example หรือ user.assets.cats.example

อย่าใส่แอตทริบิวต์ Domain เว้นแต่คุณต้องการให้รวมคุกกี้ไว้ในคำขอไปยังโดเมนย่อย

เส้นทาง

หากมีแอตทริบิวต์ Path ในส่วนหัวของการตอบกลับ Set-Cookie ระบบจะรวมคุกกี้ ที่ตั้งค่าไว้ในคำขอไปยัง URL (ในเว็บไซต์ที่ตั้งค่า คุกกี้) ซึ่งตรงกับค่า Path เท่านั้น

เช่น

Set-Cookie:cat=tabby; Path=/articles
ระบบจะรวมคุกกี้สำหรับคำขอไปยังเส้นทาง URL ใดก็ตามที่ขึ้นต้นด้วย /articles:
✅ https://cats.example/articles/tabby/index.html
✅ https://cats.example/articles/breeds/tabby/index.html
❎ https://cats.example/images/tabby.jpg
❎ https://cats.example/en/articles/tabby/index.html
Set-Cookie:cat=tabby; Path=/
คำขอทั้งหมดไปยัง URL ใดก็ตามในเว็บไซต์จะมีคุกกี้

หากSet-Cookieส่วนหัวของการตอบกลับไม่มีค่าPath ระบบจะรวมคุกกี้ไว้กับคำขอไปยังไดเรกทอรีเดียวกันเท่านั้น ตัวอย่างเช่น สมมติว่ามีการตั้งค่าคุกกี้ cat=tabby เพื่อตอบสนองต่อคำขอสำหรับ cats.example/images/tabby.jpg. หากไม่มีการตั้งค่า Path คุกกี้จะรวมอยู่กับคำขอสำหรับไฟล์ภายในไดเรกทอรี cats.example/images เท่านั้น

ใส่ Path=/ พร้อมคุกกี้หากต้องการให้คำขอทั้งหมด ไปยังเส้นทางใดก็ตามในเว็บไซต์มีคุกกี้ อย่าพึ่งพา Path ในการปกป้องความปลอดภัย

ดูการทำงาน: ใช้เครื่องมือสำหรับนักพัฒนาเว็บใน Chrome เพื่อตรวจสอบผลของ Path ในคุกกี้ ที่ตั้งค่าไว้สำหรับ 1pc.glitch.me คุกกี้ที่รวมอยู่ใน ลูกแมวไม่มีการตั้งค่าเส้นทาง ในขณะที่ iframe มี Path=/

การสาธิต

1pc.glitch.me: การสาธิตคุกกี้ของบุคคลที่หนึ่ง
3pc.glitch.me: การสาธิตคุกกี้ของบุคคลที่สาม