Jak mogę rozwiązać ostrzeżenie o ciasteczkach Google Analytics `SameSite = None` w Chrome na Apache 2.4 i PHP 7.1?

14

Witryna mojego klienta otrzymuje ostrzeżenia o plikach cookie SameSite w Chrome. Przeszukałem wszystko i nie mogę dostać ostrzeżeń, aby zniknęły. Pliki cookie są spowodowane śledzeniem konwersji Google Ad w witrynie Wordpress. Strona znajduje się na Apache / 2.4.7 (Ubuntu) hostowanym przez DreamHost z PHP 7.1 ze względu na kompatybilność. Do mojego pliku .htaccess próbowałem dodać:

Header always edit Set-Cookie (.*) "$1; SameSite=None"

i próbowałem

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

... i próbowałem

Header always edit Set-Cookie (.*) "$1; SameSite=None;Secure"

a także wiele innych kombinacji, w tym SameSite = Lax

Jeden przewodnik zaleca dla PHP 7.2 i poniżej:

header('Set-Cookie: cross-site-cookie=bar; SameSite=None; Secure');

Ale to daje mi 500 Internal Server Erorr.

Nadal jednak otrzymuję następujące trzy błędy:

Plik cookie powiązany z zasobem obejmującym wiele witryn został ustawiony bez SameSiteatrybutu. Przyszłe wydanie przeglądarki Chrome będzie dostarczać pliki cookie z żądaniami obejmującymi wiele witryn, tylko jeśli zostaną ustawione za pomocą SameSite=Nonei Secure. Możesz przejrzeć pliki cookie w narzędziach programistycznych w obszarze Aplikacja> Pamięć> Pliki cookie i zobaczyć więcej szczegółów na stronie i.

(indeks): 1 Plik cookie powiązany z zasobem na http://doubleclick.net/ został ustawiony na, SameSite=Noneale bez Secure. Przyszłe wydanie Chrome dostarczy pliki cookie oznaczone SameSite=Nonetylko, jeśli są one również oznaczone Secure. Możesz przeglądać pliki cookie w narzędziach dla programistów w obszarze Aplikacja> Pamięć> Pliki cookie i zobaczyć więcej szczegółów na https://www.chromestatus.com/feature/5633521622188032 .

(indeks): 1 Plik cookie powiązany z zasobem na http://google.com/ został ustawiony na, SameSite=Noneale bez Secure. Przyszłe wydanie Chrome dostarczy pliki cookie oznaczone SameSite=Nonetylko, jeśli są one również oznaczone Secure. Możesz przeglądać pliki cookie w narzędziach dla programistów w obszarze Aplikacja> Pamięć> Pliki cookie i zobaczyć więcej szczegółów na https://www.chromestatus.com/feature/5633521622188032 .

W moich badaniach wydaje się, że informacje o ostrzeżeniu są ograniczone, a w dostępnych przewodnikach nie jestem pewien, czy muszę zidentyfikować plik cookie według nazwy lub jak naprawić plik cookie / nagłówki u źródła.

Benson
źródło

Odpowiedzi:

10

Otrzymałem odpowiedź od Google Chrome Labs po tym, jak opublikowałem podobne pytanie na ich stronie github .

Pliki cookie wyzwalające ostrzeżenie pochodzą z google.com, więc nie będziesz mógł ich zmienić. Zespół reklamowy zdaje sobie sprawę z tych problemów i pracuje nad naprawą plików cookie przed stabilną datą lutego 2020 r. Oznacza to również, że żadna z podanych przez ciebie dyrektyw nagłówkowych nie wpłynie na plik cookie google.com, obejmie tylko pliki cookie ustawione dla Twojej witryny.

Jeśli masz jakieś ostrzeżenia o plikach cookie, które zawierają listę domen, które kontrolujesz, musisz dodać poprawne atrybuty. - jarzębina

Benson
źródło
1

Spojrzałbym na skrypt śledzenia. Oto sekcja o ruchu między domenami w dokumentacji gtag.js. Upewnij się, że tylko domena jest obecna i nie ma www, http itp.

gtag('set', 'linker', {
  'domains': ['example.com', 'example-b.com']
});
Ususipse
źródło
0

Czy wypróbowałeś następujące rzeczy?

Header Set Access-Control-Allow-Origin "*"
Header Set Access-Control-Allow-Credentials: true
Header set Set-Cookie: "ACookieAvailableCrossSite; SameSite=None; Secure"

Ostrzeżenie konsoli nie oznacza, że ​​coś musi się zepsuć. Twoja strona nadal działa zgodnie z oczekiwaniami.

Mam nadzieję, że ten link Ci pomoże. Samesite-cookies-ByDefault

Krishnan
źródło
Gdzie mówisz ACookieAvailableCrossSite, zakładam, że nie używam tego rzeczywistego terminu? Mam około 10 nazw plików cookie powiązanych z nazwą Google, czy muszę je dodawać? Jak wyglądałaby ta składnia?
Benson
Access-Control-Allow- służy do plików cookie z różnych witryn. Jak widać w pierwszej linii, zezwala na wszystkie domeny. Więc nie musisz dodawać każdego z nich.
Krishnan,
1
Większość stron ma ten sam problem. Mam nadzieję, że zostanie to naprawione przez sam Google. Wystarczy spojrzeć na ostrzeżenie konsoli o przepełnieniu stosu w Google Chrome. Tam możesz zobaczyć to samo ostrzeżenie.
Krishnan,