写在前面

明年，Chrome将开始实施禁止第三方cookie。计划2024年第一季度对1%的用户进行灰度，然后在第三季度逐步扩大至100%的用户禁止第三方Cookie。

当前是否禁止第三方cookie仍是一个可选项。

本篇文章就简单说一下这个Chrome这个动作的影响，可能会涉及到一些跨站，Cookie的前置内容，可以参考文章：。

第三方Cookie

说一个实际的例子，大家在网站A正常浏览，然后网站A会植入一些网站B的商品广告。起初广告很随机，后来你去了网站B进行了商品的浏览，再回到网站A会发现网站A植入的广告开始对你有针对性了，是你曾经在网站B浏览过的内容。

在这个例子中，因为站点B在站点A被植入出现了，所以站点B是第三方，站点A与站点B之间存在跨站访问。这是前提，现在我们说一下Cookie的问题，这个例子中很明显站点A和站点B共用了一些Cookie的内容来确定你是你。那么实际的流程可能是这样的：

1. 你访问了站点A

2. 站点A远程请求了站点B的广告

3. 站点B在返回的时候，植入了UserId（通过Set-Cookie）到A的Cookie中，通过它来标识从A过来的用户

4. 你访问了站点B，由于之前的UserId的Cookie已经存入了浏览器中，这个时候又被调出来

5. 你浏览站点B的商品，站点B开始对你进行用户画像

6. 你又访问了站点A，站点A请求站点B的广告

7. 请求携带了UserId，B根据UserId查到了你的用户画像

8. 站点B返回给你基于你画像推荐的商品

这个过程中，UserId从站点B而来，就是第三方Cookie。当然，这仅仅是举例了一个易懂的场景。

浏览器的Cookie机制

在浏览器中存储的Cookie遵循着这样的原则，不管你是从哪里跳转来的，都没关系。只要你访问的这个站点，并且浏览器中存有这个站点的Cookie，那么就会直接填充进请求包中。

正是因为这样的机制，所以才是得CSRF（跨站请求伪造）有了很广阔的攻击场景。

其实针对这个问题，Chrome很早之前就推出了Same-Site的机制，它是一个Cookie的属性，通过设置它的参数，可以完全禁用，或者完全允许，或者折中的对第三方Cookie进行限制，确实一定程度上缓解了CSRF和XSS，与之类似的还有httponly属性，禁止Cookie的跨站传输。

禁用第三方Cookie的影响

先说安全，显而易见的将对CSRF和XSS造成重大的打击。可以说，基本上除了同站内（即Same-Site）的情况下的CSRF之外的场景几乎不再存在（前提是在chrome浏览器下）。

然后说说其他对业务的影响，很显然，这种第三方的定制化推送，精准广告投放，甚至记录用户行为可能就不存在了，仅仅限于浏览器中。

写在后面

不过Cookie仅仅是一个用户身份识别的机制，为了赚钱各大互联网公司肯定会有很多的替代方案和应对措施，本质上就是知道你是你就可以了，对吧？

不然我一个搞基础安全建设的，为啥会突然关注到这个消息呢，对吧？