对抗安全漏洞：苹果完全屏蔽第三方 Cookie

3 月 24 日，苹果 WebKit 博客发表了一篇题为《Full Third-Party Cookie Blocking and More》的文章，正式宣布它开始默认完全屏蔽第三方 Cookie。苹果表示，“这是对隐私的一项重大改进，因为它消除了任何异常或允许进行一点跨站点跟踪的可能。”

鉴于大部分第三方脚本已转移到类似 LocalStorage 的第一方存储方式，苹果同时宣布所有脚本可写入的存储都只保留 7 天，7 天之后本地储存的数据将会被自动删除。受影响的存储格式包括 Indexed DB、LocalStorage、Media keys、SessionStorage 和 Service Worker registrations。

开发人员可以根据 OAuth 2.0 授权、Storage Access API 或临时兼容性修补程序的方式在过渡期解决此协议所带来的不便。

完全屏蔽的好处是什么？

WebKit 在博客中分享了完全屏蔽第三方 Cookie 的好处，具体而言有以下几个方面。

• 消除了 Cookie Blocking 中的状态性；
• 使跨站点泄露用户信息（例如登录指纹）不再可行；
• 禁用通过第三方请求对网站的跨站点伪造攻击；
• 删除使用辅助第三方域标识用户的功能。否则，即使用户删除第一方的网站数据，此类设置也可能保留 ID；
• 简化了开发人员的工作，如果需要使用 Cookie，苹果建议通过 Storage Access API 进行。