Chrome hat eine neue Funktion vorgeschlagen, mit der Nutzer festlegen können, wie Drittanbieter-Cookies beim Surfen verarbeitet werden. Websites und Dienste müssen möglicherweise erkennen, ob Drittanbieter-Cookies in einem bestimmten Kontext verfügbar sind. In Chrome gibt es zwei Hauptmethoden, um den Zugriff auf Drittanbieter-Cookies für eingebettete Inhalte zu erkennen: die JavaScript-Methode „hasStorageAccess“ und das Überwachen von Sec-Fetch-Storage-Access-Headern.
Mit der Privacy Sandbox wurden APIs eingeführt, die bestimmten Frames unter bestimmten Bedingungen Zugriff auf Drittanbieter-Cookies gewähren können. Daher ist es wichtig, den Zugriff auf nicht partitionierte Cookies pro Einbettung erkennen zu können.
Zugriff auf Drittanbieter-Cookies in Iframes erkennen
Wenn die Inhalte eines Iframes auf einer anderen Website gehostet werden als der, die in der Adressleiste des Nutzers angezeigt wird, werden sie als websiteübergreifend betrachtet und Drittanbieter-Cookies können eingeschränkt werden. Der Iframe kann durch Aufrufen von await document.hasStorageAccess() erkennen, ob er derzeit Zugriff auf Drittanbieter-Cookies hat. Diese Methode gibt true oder false zurück, je nachdem, ob der Frame Zugriff auf nicht partitionierte Cookies hat.
Wenn Ihr Iframe die Storage Access API (SAA) verwendet, um auf nicht partitionierte websiteübergreifende Cookies zuzugreifen (SAA allein oder mit Gruppen ähnlicher Websites), können Sie anhand der Berechtigung storage-access prüfen, ob der Frame den Zugriff auf nicht partitionierte Cookies aktivieren kann.
Zugriff auf Drittanbieter-Cookies in HTTP-Anfragen erkennen
Ab Chrome 133 wird der Header Sec-Fetch-Storage-Access mit Anfragen mit Anmeldedaten gesendet, um dem Server mitzuteilen, ob der Aufrufkontext Zugriff auf nicht partitionierte Cookies hat. Dieser Header enthält einen der folgenden drei Werte:
none: Die Einbettung hat keinen Zugriff auf nicht partitionierte Cookies.inactive: Das eingebettete Element hat die Berechtigung, auf nicht partitionierte Cookies zuzugreifen, hat diese aber nicht aktiviert.active: Das eingebettete Element hat Zugriff auf nicht partitionierte Cookies.
Bedingungen, unter denen eingebetteten Inhalten Zugriff auf nicht partitionierte Cookies gewährt wird
Der Zugriff auf nicht partitionierte Drittanbieter-Cookies kann auf verschiedene Arten gewährt werden, um Fälle zu unterstützen, in denen diese Cookies erforderliche Funktionen bereitstellen. Bei den folgenden Methoden wird der Zugriff auf nicht partitionierte Cookies gewährt. In einigen Fällen müssen requestStorageAccess() oder requestStorageAccessFor() aufgerufen werden, bevor der Zugriff gewährt wird.
| Methode | Beispiel | Muss requestStorageAccess aufgerufen werden? |
|---|---|---|
| Storage Access API Aufforderung | Der Nutzer wird aufgefordert, den Speicherzugriff zuzulassen, und wählt „Zulassen“ aus. | Ja |
| Federated Credential Management | Der Nutzer meldet sich mit einem föderierten Identitätsanbieter (IdP) an. Der Frame des IdP fordert Speicherzugriff an. | Ja |
| Gruppen ähnlicher Websites | Die Einbettung und der Einbettungs-URL-inhaber gehören zurselben RWS. | Ja |
| 3 PCs in den Nutzereinstellungen aktiviert | Der Nutzer kann 3PCs für die gesamte Browsernutzung oder nur für eine bestimmte Quelle zulassen. | Nein |
| Heuristisch basierte Ausnahmen | Chrome erkennt ein heuristisches Muster und gewährt automatisch Zugriff auf nicht partitionierte Cookies. Ein Aufruf von requestStorageAccess() ist nicht erforderlich. |
Nein |
| Vorübergehende Ausnahmen (z. B. Kulanzzeitraum) | Die Website oder der Dienst hat eine vorübergehende Chrome-Ausnahme beantragt, während die Umstellung auf eine dauerhaftere Lösung erfolgt. | Nein |
| Richtlinien für Unternehmen | Der Chrome Enterprise-Administrator eines Unternehmens hat 3PCs für einen Teil oder den gesamten Traffic zugelassen. | Nein |