SameSiteおよびSecure属性を使用したGoogleタグマネージャーのCookieの設定

Chromeは次の警告を報告しています：

属性なしで、https：//www.googletagmanager.com/のクロスサイトリソースに関連付けられたCookie が設定されましたSameSite。Chromeの将来のリリースでは、とが設定されている場合にのみ、クロスサイトリクエストでCookieを配信SameSite=NoneしSecureます。開発者ツールのApplication> Storage> CookiesでCookieを確認し、https：//www.chromestatus.com/feature/5088147346030592およびhttps://www.chromestatus.com/feature/5633521622188032で詳細を確認できます。

このタイプの警告が2つあります。私が見る3枚のクッキーがありgtm_auth、gtm_previewとgtm_debug。すべてのセッションCookie。私が見るgtm_authとセットでSecureの属性（SameSite属性が空です）。他の2つのCookieにはどちらの属性も設定されていません。

ちなみに、これらはマーケティングCookieではなく、分析Cookieとして分類されています。

を使用してGoogle Tag Manager、これらのCookieを設定または変更するにはどうすればよいですか？コードのCookieを更新するつもりはありません。を使用してCookie属性を追加できるはずGoogle Tag Managerです。でこれに対処する方法については、Googleのスタンスは何であるGoogle AnalyticsとGoogle Tag Manager？

— user3621633
ソース

回答:

これらの警告のいずれについても、ドメインに責任がない場合は、Cookieを更新する責任はありません。Googleタグマネージャーチームは、SameSiteからのCookie の属性を設定する関連コードの更新を担当しますgoogletagmanager.com。

この時点では、警告は情報提供のみを目的としており、機能には影響しません。安定したChromeでのこの動作の強制は、現在2020年2月を対象とするM80まで予定されていません。

— rowan_m
ソース

ありがとうございました。あなたは正しいです。これらのCookieを設定するのはGTMコードであり、私はそれらを制御できません。実際、私のトレースから、Googleのコードによって最初は空の文字列に設定されていることがわかります。修正するのは私次第ではありません。コードがGoogle Chromeの変更と一致するようにするのは、GTM / GA担当者次第です。

— user3621633

それでも、警告をより的を絞ったものにするとよいでしょう。Chromeチームが、Google自体が制御するtagmanager.comのようなドメインを除外して、コンソールがこのようにスパムされないようにすることができます。それは実際には不可能であるにもかかわらず彼らのウェブサイトを修正しようとする人々のために多くの開発者時間を犠牲にしてその言葉を広めています。

— Stijn de Witt

ここではオプションを検討していますが、Chromeにとって重要なことは、Googleのプロパティを特別なケースとして扱いたくないということです。これらの警告を減らす方法は、Googleサービスが計画中のCookieを修正することです。ただし、ドメインに関連するだけのCookieを引き出すのは簡単ではありません。

— rowan_m

この警告は情報提供ではなく、Chromeがブロックするようになりました。

— チャンティアル

この変更は、執筆時点で展開中です。一部のブラウザーはブロックし、一部はブロックしません。samesite-sandbox.glitch.meでブラウザの動作を確認できます。

— rowan_m

Chromeはすでにこの変更を公開しています。これを機能させるには、analytics.jsまたはgtag.jsでCookieフラグを設定できます。次に例を示します。

gtag('config', 'G-N2A3FMNDT5', {
  cookie_flags: 'max-age=7200;secure;samesite=none'
});

詳細と背景については、次のブログ投稿を参照してください：Google Analyticsの新しいcookieFlags設定

— チャンティアル
ソース