Spiegazione dei cookie SameSite

Rowan Merewood

Ogni cookie contiene una coppia chiave-valore insieme a una serie di attributi che controllano quando e dove viene utilizzato.

L'introduzione dell'attributo SameSite (definito nella RFC6265bis) ti consente di dichiarare se il cookie è limitato a un contesto proprietario o dello stesso sito. È utile capire esattamente cosa significa "sito" in questo contesto. Il sito è la combinazione del suffisso del dominio e della parte del dominio che lo precede. Ad esempio, il dominio www.web.dev fa parte del sito web.dev.

Termine chiave: se l'utente si trova su www.web.dev e richiede un'immagine da static.web.dev, si tratta di una richiesta stesso sito.

L'elenco dei suffissi pubblici definisce quali pagine vengono considerate sullo stesso sito. Non dipende solo dai domini di primo livello come .com, ma può includere anche servizi come github.io. In questo modo, your-project.github.io e my-project.github.io vengono conteggiati come siti separati.

Termine chiave: se l'utente si trova su your-project.github.io e richiede un'immagine da my-project.github.io, si tratta di una richiesta cross-site.

Utilizzare l'attributo SameSite per dichiarare l'utilizzo dei cookie

L'attributo SameSite di un cookie offre tre modi diversi per controllare questo comportamento. Puoi scegliere di non specificare l'attributo oppure puoi utilizzare Strict o Lax per limitare il cookie alle richieste dello stesso sito.

Se imposti SameSite su Strict, il cookie può essere inviato solo in un contesto proprietario, ovvero se il sito per il cookie corrisponde al sito mostrato nella barra degli indirizzi del browser. Quindi, se il cookie promo_shown è impostato come segue:

Set-Cookie: promo_shown=1; SameSite=Strict

Quando l'utente si trova sul tuo sito, il cookie viene inviato con la richiesta come previsto. Tuttavia, se l'utente segue un link al tuo sito da un altro, il cookie non viene inviato nella richiesta iniziale. Questo è utile per i cookie relativi a funzionalità che si trovano sempre dietro una navigazione iniziale, come la modifica di una password o l'effettuazione di un acquisto, ma è troppo restrittivo per un cookie come promo_shown. Se il lettore segue il link al sito, vuole che il cookie venga inviato in modo che la sua preferenza possa essere applicata.

SameSite=Lax consente al browser di inviare il cookie con queste navigazioni di primo livello. Ad esempio, se un altro sito fa riferimento ai contenuti del tuo sito, in questo caso utilizzando la foto del tuo gatto e fornendo un link al tuo articolo come segue:

<p>Look at this amazing cat!</p>
<img src="https://blog.example/blog/img/amazing-cat.png" />
<p>Read the <a href="https://blog.example/blog/cat.html">article</a>.</p>

Con un cookie impostato su Lax come segue:

Set-Cookie: promo_shown=1; SameSite=Lax

Quando il browser richiede amazing-cat.png per il blog dell'altra persona, il tuo sito non invia il cookie. Tuttavia, quando il lettore segue il link a cat.html sul tuo sito, la richiesta include il cookie.

Ti consigliamo di utilizzare SameSite in questo modo, impostando i cookie che influiscono sulla visualizzazione del sito web su Lax e i cookie correlati alle azioni dell'utente su Strict.

Puoi anche impostare SameSite su None per indicare che vuoi che il cookie venga inviato in tutti i contesti. Se fornisci un servizio utilizzato da altri siti, ad esempio widget, contenuti incorporati, programmi di affiliazione, pubblicità o accesso su più siti, utilizza None per assicurarti che la tua intenzione sia chiara.