Chrome ha proposto una nuova esperienza che consente agli utenti di scegliere come vengono gestiti i cookie di terze parti durante la navigazione. I siti e i servizi potrebbero dover rilevare se i cookie di terze parti sono disponibili o meno in un determinato contesto. Chrome dispone di due metodi principali per rilevare l'accesso ai cookie di terze parti per i contenuti incorporati: l'utilizzo del metodo JavaScript hasStorageAccess e l'osservazione delle intestazioni Sec-Fetch-Storage-Access.
Privacy Sandbox ha introdotto API che possono concedere a frame specifici l'accesso ai cookie di terze parti se vengono soddisfatte determinate condizioni. Pertanto, è importante poter rilevare l'accesso ai cookie non partizionati in base a ogni incorporamento.
Rilevare l'accesso ai cookie di terze parti negli iframe
Quando i contenuti di un iframe sono ospitati su un sito diverso da quello visualizzato nella barra degli indirizzi dell'utente, sono considerati cross-site e potrebbero avere cookie di terze parti limitati. L'iframe può rilevare se ha attualmente accesso ai cookie di terze parti chiamando await document.hasStorageAccess(). Questo metodo restituisce true o false, a seconda che il frame abbia o meno accesso ai cookie non partizionati.
Se il tuo iframe utilizza l'API Storage Access (SAA) per accedere ai cookie cross-site non partizionati (utilizzando SAA da solo o con gli insiemi di siti web correlati), puoi controllare l'autorizzazione storage-access per determinare se il frame può attivare l'accesso ai cookie non partizionati.
Rilevare l'accesso ai cookie di terze parti nelle richieste HTTP
A partire da Chrome 133, l'intestazione Sec-Fetch-Storage-Access viene inviata con le richieste con credenziali per indicare al server se il relativo contesto di chiamata ha accesso ai cookie non suddivisi in parti. Questa intestazione contiene uno dei tre valori:
none: l'elemento incorporato non ha accesso ai cookie non suddivisiinactive: l'elemento incorporato ha l'autorizzazione ad accedere ai cookie non suddivisi, ma non l'ha attivataactive: l'elemento incorporato ha accesso ai cookie non partizionati
Condizioni che consentono agli elementi incorporati di accedere ai cookie non partizionati
L'accesso ai cookie di terze parti non partizionati può essere concesso in diversi modi per supportare i casi in cui questi cookie forniscono la funzionalità necessaria. I seguenti metodi comportano la concessione dell'accesso ai cookie non partizionati. In diversi casi, è necessario chiamare requestStorageAccess() o requestStorageAccessFor() prima che venga concesso l'accesso.
| Metodo | Esempio | È necessario chiamare requestStorageAccess? |
|---|---|---|
| Prompt dell'API Storage Access | All'utente viene chiesto di consentire l'accesso allo spazio di archiviazione e seleziona "Consenti". | Sì |
| Federated Credential Management | L'utente accede con un provider di identità federato (IdP); il frame dell'IdP richiede l'accesso allo spazio di archiviazione. | Sì |
| Insiemi di siti web correlati | L'embed e l'embedder appartengono alla stessa RWS. | Sì |
| 3 computer abilitati nelle impostazioni utente | L'utente sceglie di consentire i 3PC per tutta la navigazione o solo per un'origine specifica. | No |
| Eccezioni basate su euristiche | Chrome rileva un pattern euristico e concede automaticamente l'accesso ai cookie non partizionati. Non è necessaria una chiamata a requestStorageAccess(). |
No |
| Eccezioni temporanee (ad esempio, periodo di tolleranza) | Il sito o il servizio ha attivato un'eccezione temporanea di Chrome durante la transizione a una soluzione più duratura. | No |
| Norme per le aziende | L'amministratore di Chrome Enterprise di un'azienda ha scelto di consentire i 3PC su parte o tutto il traffico. | No |