サイトやサービスは、よりプライバシーに配慮した代替手段への移行など、サードパーティ Cookie の制限に備えることが重要です。
デベロッパーの移行を支援するため、この期間中、Chrome ではヒューリスティックを使用して、事前定義されたフローに対してサードパーティ Cookie に一時的にアクセスできるようにし、サービス停止を軽減します。特定のシナリオでは、デベロッパーによる追加作業なしでアクセス権が自動的に付与されますが、これは一時的な措置であり、今後ヒューリスティクスが完全に削除されることが想定されています。デベロッパーは長期的なソリューションに移行することが求められます。
ヒューリスティックに基づく例外シナリオ
{# disableFinding("pop-up")} ヒューリスティクスで特定しようとするシナリオは、主に認証です。トップレベル サイトがポップアップ ウィンドウを開くか、オペレーションのためにサードパーティ サイトにリダイレクトし、そのリターン ジャーニーまたは埋め込みコンテキストで Cookie を使用してトップレベル サイトに戻ります。
次の例は、特定の信頼シグナルに基づいてブラウザがサードパーティ Cookie へのアクセスを自動的に許可するシナリオを示しています。これらの信頼性シグナルは主にパターンベースであり、ユーザー操作の要件に依存しています。
シナリオ A - ポップアップの操作後にサードパーティ Cookie にアクセスする
- ユーザーがサイト A に移動
- ユーザーが、開いたサイト B のリソースをポップアップ ウィンドウに読み込みます。このとき、HTTP リダイレクト* が複数発生することもあります。
- サイト B のリソースは、読み込み後にユーザー操作を受け取ります。
このフローから 30 日間、サイト B はサイト A に埋め込まれている場合にサードパーティ Cookie へのアクセスを許可されます。
シナリオ B - リダイレクト経由のインタラクション後にサードパーティ Cookie にアクセスする
- ユーザーがサイト A で開始し、サイト B にリダイレクトされる。
- サイト B がユーザー操作を受け取ります。
- その後、サイト B は(他のオリジンを経由する可能性もあるが)サイト A にリダイレクトします。
このフローから 15 分間、サイト B はサイト A に埋め込まれている場合にサードパーティ Cookie へのアクセスを許可されます。
Cookie アクセス権の付与は、ファーストパーティ サイトとサードパーティ サイトのペアにのみ適用されます。たとえば、ファーストパーティ サイト a.com とサードパーティ サイト b.com でシナリオが満たされている場合、a.com の任意のページでリソースまたは iframe として読み込まれた b.com の任意のページは、Cookie にアクセスできます。この権限は、a.com の下にある他のサードパーティ サイト、別のトップレベル ドメインのサードパーティ リソースとしての b.com、中間祖先チェーン内の他のクロスサイト(a.com または b.com 以外)の iframe を使用して a.com に間接的に埋め込まれた b.com には適用されません。また、b.com とクロスサイトである他の iframe によって埋め込まれた b.com のリソースに Cookie アクセス権を付与してはなりません。
ヒューリスティクスの詳細については、対応する説明をご覧ください。
ヒューリスティック ベースの例外に関するデモでは、ヒューリスティック例外の有無にかかわらず、サードパーティ Cookie へのアクセスをテストできます。