安全注意事项

虽然 Cookie 可以增强用户的体验并支持广告投放,但它们也会引入安全漏洞,例如跨站点请求伪造 (CSRF) 攻击。例如,如果用户登录银行网站支付信用卡账单,但在离开网站时没有注销,然后在相同会话中访问了恶意网站,这时就可能发生 CSRF 攻击。恶意网站可能包括向银行网站发出请求的代码,在页面加载时执行。由于用户仍在银行网站上通过了身份验证,会话Cookie可用于启动CSRF攻击,启动从用户银行账户的转账事件。 这是因为无论何时您访问网站,所有 Cookie 都附加到 HTTP 请求中。由于这些安全注意事项,Google 现在尝试减轻这些风险。

说了这么多,让我们看看Target如何使用Cookie。 首先,要使用 Target,您需要在网站上安装 Target JavaScript 库。对于访问您网站的用户,这让您可以在其浏览器中放置一个第三方 Cookie。在用户与您的网站互动时,您可以通过JavaScript库将用户的行为和兴趣数据传递给Target。 Target JavaScript库使用第一方Cookie提取有关用户的标识信息,以映射到用户的行为和兴趣数据。 然后,Target 使用此数据来支持您打造个性化的行动。

Target 还会(有时)使用第三方 Cookie。如果您拥有在不同域上线的多个网站,并且希望跨这些网站跟踪用户旅程,您可以利用跨域跟踪使用第三方 Cookie。通过在 Target JavaScript 库中启用跨域跟踪,您的帐户将开始使用第三方 Cookie。当用户从一个域跳转到另一个域时,浏览器与Target的后端服务器通信,在此过程中,将创建第三方Cookie并放置在用户的浏览器中。 通过在用户浏览器中活动的第三方Cookie,Target可以为单个用户跨不同域提供一致的体验。

Google的新Cookie方法

为了在跨网站发送 Cookie 时提供安全保障以保护用户,Google 计划添加对名为 SameSite 的 IETF 标准的支持,该标准要求 Web 开发人员在 Set-Cookie 标头中,使用 SameSite 属性组件管理 Cookie。

可以将三个不同的值传递到 SameSite 属性:Strict、Lax 或 None。

描述
Strict只有在访问最初设置的域时,才可访问具有此设置的 Cookie。换言之,Strict 会完全阻止跨站点使用 Cookie。此选项非常适合需要高安全性的应用程序,例如银行。
Lax仅相同网站请求或使用非幂等 HTTP 请求的顶级导航上会发送具有此设置的 Cookie,例如 HTTP GET。因此,在 Cookie 由第三方使用时会使用此选项,但具有额外的安全优势,可以保护用户免受 CSRF 攻击的伤害。
具有此设置的 Cookie 与目前的 Cookie 工作方式相同。

请记住上述内容,Chrome 80 为用户引入了两种独立的设置:“默认为 Cookie 设置 SameSite”以及“不具有 SameSite 的 Cookie 必须是安全的”。这些设置在 Chrome 80 中默认启用。

SameSite 对话框

  • 默认为Cookie设置​ SameSite:设置后,所有未指定SameSite属性的Cookie将自动强制使用SameSite = Lax
  • 不具有 SameSite 的 Cookie 必须是安全的:在设置时,没有 SameSite 属性或者使用 SameSite = None 的 Cookie 必须是安全的。在此上下文中,安全是指所有浏览器请求都必须遵循 HTTPS 协议。不符合此要求的 Cookie 将被拒绝。所有网站应使用 HTTPS 来满足此要求。

Target遵循Google的安全最佳实践

对于Adobe,我们始终希望支持业界最新的安全和隐私最佳实践。 我们非常高兴地宣布,Target 支持 Google 引入的新安全和隐私设置。

对于“默认为 Cookie 设置 SameSite”设置,Target 将继续提供个性化功能,没有任何影响,也无需您的干预。Target 会使用第一方 Cookie,并在 Google Chrome 应用标记 SameSite = Lax 时继续正常运行。

对于“不具有SameSite的Cookie必须是安全的”选项,如果您没有在Target中选择使用跨域跟踪功能,则Target中的第一方Cookie将继续正常使用。

但是,当您选择使用跨域跟踪来跨多个域利用 Target 时,Chrome 要求为第三方 Cookie 使用 SameSite = None 和 Secure 标记。这意味着必须确保网站使用 HTTPS 协议。Target 中的客户端库将使用 HTTPS 协议并附加 SameSite = None 和 Secure 标记到 Target 中的第三方 Cookie,以确保继续提供所有活动。

您需要执行哪些操作?

如需了解让 Target 可继续用于 Google Chrome 80 以上的用户所需完成的操作,请参考下表,其中您将看到以下列:

  • Target JavaScript 库:网站上使用 at.js 1.x 或 at.js 2.x 时。
  • 默认为 Cookie 设置 SameSite = 已启用:如果用户启用了“默认为 Cookie 设置 SameSite”,它对您有何影响以及您需要做什么来让 Target 继续正常使用。
  • 不具有 SameSite 的 Cookie 必须是安全的 = 已启用:如果用户启用了“不具有 SameSite 的 Cookie 必须是安全的”,它对您有何影响以及您需要做什么来让 Target 继续正常使用。
Target JavaScript 库默认为 Cookie 设置 SameSite = 已启用不具有 SameSite 的 Cookie 必须是安全的 = 已启用
at.js 1.x ​与第一方Cookie。无影响。如果您没有使用跨域跟踪,则没有影响。
at.js 1.x ​启用了跨域跟踪。无影响。您必须为网站启用 HTTPS 协议。
Target使用第三方Cookie来跟踪用户,Google要求第三方Cookie具有SameSite = None和Secure标志。 Secure 标记要求网站必须使用 HTTPS 协议。
at.js 2.x无影响。无影响。

Target 需要做什么?

那么,在我们的平台上需要做什么来帮助您遵守新的 Google Chrome 80+ SameSite Cookie 策略?

Target JavaScript 库默认为 Cookie 设置 SameSite = 已启用不具有 SameSite 的 Cookie 必须是安全的 = 已启用
at.js 1.x ​与第一方Cookie。无影响。如果您没有使用跨域跟踪,则没有影响。
at.js 1.x ​启用了跨域跟踪。无影响。at.js 1.x ​启用了跨域跟踪。
at.js 2.x无影响。无影响。

如果您转为使用HTTPS协议会有什么影响?

唯一会影响您的使用案例是当您在 Target 中通过 at.js 1.x 使用跨域跟踪功能时。如果不转为 HTTPS(Google 要求转为 HTTPS),您会看到跨域的独特访客高峰,因为 Google 将丢弃我们使用的第三方 Cookie。由于第三方 Cookie 将被丢弃,在用户从一个域导航到另一个域时,Target 无法为该用户提供一致的个性化体验。第三方 Cookie 主要用于标识在您拥有的域之间导航的单个用户。