Apache 2.4およびPHP 7.1上のChromeでクロスサイトGoogleアナリティクスCookieの「SameSite = None」警告を解決するにはどうすればよいですか?


14

クライアントのウェブサイトで、ChromeでこれらのSameSite Cookie警告が表示されます。私はあちこちを検索しましたが、警告が出なくなります。Cookieは、WordpressサイトのGoogle広告コンバージョントラッキングによるものです。このサイトは、互換性の理由から、PHP 7.1を実行するDreamHostがホストするApache / 2.4.7(Ubuntu)上にあります。私の.htaccessファイルに、私は追加しようとしました:

Header always edit Set-Cookie (.*) "$1; SameSite=None"

そして私は試しました

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

...そして私は試しました

Header always edit Set-Cookie (.*) "$1; SameSite=None;Secure"

SameSite = Laxを含む他の多くの組み合わせと同様に

1つのガイドでは、PHP 7.2以下を推奨しています。

header('Set-Cookie: cross-site-cookie=bar; SameSite=None; Secure');

しかし、それは私に与えます500 Internal Server Erorr

それでも、次の3つのエラーが発生します。

のクロスサイトリソースに関連付けられたCookieがSameSite属性なしで設定されました。Chromeの将来のリリースでは、とが設定されている場合にのみ、クロスサイトリクエストでCookieを配信SameSite=NoneSecureます。デベロッパーツールの[アプリケーション]> [ストレージ]> [Cookie]でCookieを確認し、とで詳細を確認できます。

(インデックス):1 http://doubleclick.net/のリソースに関連付けられたCookie が設定されましたSameSite=Noneが、設定されていませんSecure。Chromeの今後のリリースでSameSite=Noneは、マークされているCookieのみが配信されSecureます。開発者ツールのApplication> Storage> CookiesでCookieを確認し、https://www.chromestatus.com/feature/5633521622188032で詳細を確認できます

(インデックス):1 http://google.com/のリソースに関連付けられたCookie がで設定されましたSameSite=Noneが、ありませんSecureでした。Chromeの今後のリリースでSameSite=Noneは、マークされているCookieのみが配信されSecureます。開発者ツールのApplication> Storage> CookiesでCookieを確認し、https://www.chromestatus.com/feature/5633521622188032で詳細を確認できます

私の調査では、警告に関する情報が限られているようです。利用可能なガイドでは、名前でCookieを識別する必要があるかどうか、またはCookie /ヘッダーをソースで修正する方法を確認する必要があります。

回答:


10

同様の質問をgithubページに投稿したところ、Google Chrome Labsから返事がありました。

警告をトリガーするCookieはgoogle.comから送信されるため、変更することはできません。広告チームはこれらの問題を認識しており、2020年2月の安定日の前にCookieを修正するよう取り組んでいます。また、指定するヘッダーディレクティブがgoogle.comのCookieに影響を与えることはなく、サイトに設定されたCookieのみを対象とします。

制御するドメインを具体的にリストするCookie警告がある場合は、正しい属性を追加する必要があります。- ナナカマド


1

トラッカースクリプトを確認します。これは、gtag.jsドキュメントのクロスドメイントラフィックに関するセクションです。ドメインのみが存在し、www、httpなどが存在しないことを確認してください。

gtag('set', 'linker', {
  'domains': ['example.com', 'example-b.com']
});

0

以下を試しましたか?

Header Set Access-Control-Allow-Origin "*"
Header Set Access-Control-Allow-Credentials: true
Header set Set-Cookie: "ACookieAvailableCrossSite; SameSite=None; Secure"

コンソールの警告は、何かが必ずしも壊れているという意味ではありません。サイトは期待どおりに機能し続けます。

このリンクがお役に立てば幸いです。 Samesite-cookies-ByDefault


ACookieAvailableCrossSiteと言う場合、その実際の用語を使用していないと思いますか?Google名に関連付けられたCookie名が約10個ありますが、それぞれに追加する必要がありますか?その構文はどのようになりますか?
Benson、

Access-Control-Allow- クロスサイトCookieに使用されます。最初の行でわかるように、すべてのドメインが許可されます。したがって、それぞれを追加する必要はありません。
クリシュナン

1
ほとんどのウェブサイトに同じ問題があります。google自体で修正されることを願っています。Google Chromeでのスタックオーバーフローのコンソール警告をご覧ください。そこに同じ警告が表示されます。
クリシュナン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.