iFrameの制限
CookieファイルのSameSiteの更新
SameSiteは、ユーザーが自分のWebサイトに移動するまで、第三者のドメインがCookieファイルを作成するのを防ぐように設計されたセキュリティ機能です。この機能は、第三者がブラウザのCookieを使用して、オンラインのユーザーとユーザーがアクセスしたWebサイトを追跡するのを防ぐのに役立ちます。2020年2月、GoogleがChrome80以降用に作成したSameSiteセキュリティ機能にいくつかの変更が加えられます。CookieファイルのSameSite属性は、次の3つの値のいずれかに設定する必要があります:
- Strictは、すべてのクッキーファイルの送信を防ぎます。
- Laxは、一部の種類のクッキーファイルがウェブサイト間で送信されるのを防ぎます(画像やiFrame)。この値は既定で指定されています。
- Noneは、クッキーファイルに制限を設けていません。
つまり、Chrome 80からは、保護されていないHTTPプロトコルでiFrameで製品を使用することができなくなります。これを実行しようとすると、次のようなエラーが発生します。「ブラウザのポリシーの制限により、このURLは保護されていなHTTPプロトコルを使用して開くことができません。保護されたHTTPSプロトコルを使用するか、ブラウザのポリシーを変更してください」。エラーメッセージには、次のようなChromeウェブサイトへのリンクも表示されます:https://www.chromium.org/updates/same-site。このエラーは、Google ChromeおよびMicrosoft Edgeに影響を与える可能性があります。回避策としては、ブラウザの設定のデフォルトの クッキーのオプションでSameSiteを有効にしてください。
Google ChromeのデフォルトでSameSiteを有効にする
この機能を有効にするには、次のようにします:
- Chrome://flags/ に進みます
- デフォルトのクッキーモードでSameSiteを有効にします。
- 変更を有効にするには、ブラウザを再起動してください。
- ウェブサイトを開き、ブラウザ上で開発ツールのコンソールが意図したとおりに動作することを検証します。
Microsoft EdgeのデフォルトでSameSiteを有効にする
この機能を有効にするには、次のようにします:
- edge://flags/ に進みます
- デフォルトのクッキーモードでSameSiteを有効にします。
- 変更を有効にするには、ブラウザを再起動してください。
- ウェブサイトを開き、ブラウザ上で開発ツールのコンソールが意図したとおりに動作することを検証します。
他のブラウザのアップデート
Firefoxなどの他のブラウザでは、Cookieファイルの扱いについて以下のような変更が行われます:
- SameSite属性のないクッキーファイルは、「SameSite= Lax」として扱われます。第三者によるアクセスが必要な場合は、SameSite属性を持つようにクッキーを更新してください。
- 第三者によるアクセスが必要なCookieファイルには、以下の属性が必要です:「SameSite = None; Secure」。
12.04.2024 18:16:06