Chrome đã đề xuất một trải nghiệm mới cho phép người dùng chọn cách xử lý cookie của bên thứ ba khi họ duyệt web. Các trang web và dịch vụ có thể cần phát hiện xem có cookie của bên thứ ba trong một ngữ cảnh nhất định hay không. Chrome có hai phương thức chính để phát hiện quyền truy cập vào cookie của bên thứ ba cho nội dung được nhúng: sử dụng phương thức JavaScript hasStorageAccess và quan sát tiêu đề Sec-Fetch-Storage-Access.
Hộp cát về quyền riêng tư đã ra mắt các API có thể cấp quyền truy cập vào cookie của bên thứ ba cho một số khung cụ thể nếu đáp ứng một số điều kiện nhất định. Do đó, điều quan trọng là bạn phải có thể phát hiện quyền truy cập vào cookie chưa được phân vùng trên cơ sở mỗi lượt nhúng.
Phát hiện quyền truy cập vào cookie của bên thứ ba trong iframe
Khi nội dung của một iframe được lưu trữ trên một trang web khác với trang web hiển thị trong thanh địa chỉ của người dùng, thì nội dung đó được coi là trên nhiều trang web và có thể bị hạn chế cookie của bên thứ ba. Iframe có thể phát hiện xem iframe hiện có quyền truy cập vào cookie của bên thứ ba hay không bằng cách gọi await document.hasStorageAccess(). Phương thức này trả về true hoặc false, tuỳ thuộc vào việc khung có quyền truy cập vào cookie chưa được phân vùng hay không.
Nếu iframe của bạn sử dụng Storage Access API (SAA) để có quyền truy cập vào cookie chưa được phân vùng trên nhiều trang web (sử dụng riêng SAA hoặc với Bộ trang web có liên quan), bạn có thể kiểm tra quyền storage-access để xác định xem khung có thể chọn sử dụng quyền truy cập vào cookie chưa được phân vùng hay không.
Phát hiện quyền truy cập vào cookie của bên thứ ba trong các yêu cầu HTTP
Kể từ Chrome 133, tiêu đề Sec-Fetch-Storage-Access được gửi cùng với các yêu cầu có thông tin xác thực để cho máy chủ biết ngữ cảnh gọi của máy chủ có quyền truy cập vào cookie chưa phân vùng hay không. Tiêu đề này chứa một trong ba giá trị:
none: Nội dung nhúng không có quyền truy cập vào cookie chưa được phân vùnginactive: Trình nhúng có quyền truy cập vào cookie chưa được phân vùng nhưng chưa kích hoạt cookie đóactive: Nội dung nhúng có quyền truy cập vào cookie chưa được phân vùng
Các điều kiện cấp quyền truy cập vào cookie chưa được phân vùng cho các phần nhúng
Bạn có thể cấp quyền truy cập vào cookie của bên thứ ba chưa được phân vùng theo một số cách để hỗ trợ các trường hợp cookie này cung cấp chức năng cần thiết. Các phương thức sau đây sẽ cấp quyền truy cập vào cookie chưa được phân vùng. Trong một số trường hợp, bạn phải gọi requestStorageAccess() hoặc requestStorageAccessFor() trước khi được cấp quyền truy cập.
| Phương thức | Ví dụ: | Phải gọi requestStorageAccess? |
|---|---|---|
| Lời nhắc Storage Access API | Người dùng được nhắc cho phép quyền truy cập vào bộ nhớ và chọn "Cho phép". | Có |
| Quản lý thông tin xác thực liên kết | Người dùng đăng nhập bằng một nhà cung cấp dịch vụ danh tính liên kết (IdP); khung của IdP yêu cầu quyền truy cập vào bộ nhớ. | Có |
| Bộ trang web có liên quan | Nội dung nhúng và trình nhúng thuộc cùng một RWS. | Có |
| 3 máy tính được bật trong phần cài đặt người dùng | Người dùng chọn cho phép 3PC cho tất cả hoạt động duyệt web của họ hoặc chỉ cho một nguồn gốc cụ thể. | Không |
| Ngoại lệ dựa trên phương pháp phỏng đoán | Chrome phát hiện một mẫu phỏng đoán và tự động cấp quyền truy cập vào các cookie chưa được phân vùng. Không bắt buộc phải gọi requestStorageAccess(). |
Không |
| Trường hợp ngoại lệ tạm thời (ví dụ: thời gian gia hạn) | Trang web hoặc dịch vụ này đã đăng ký một trường hợp ngoại lệ tạm thời của Chrome khi chuyển sang một giải pháp lâu dài hơn. | Không |
| Chính sách dành cho doanh nghiệp | Quản trị viên Chrome Enterprise của công ty đã chọn cho phép 3PC trên một số hoặc tất cả lưu lượng truy cập. | Không |