我们有一个通常在我们自己的域中使用的webb应用程序,但是在某些情况下,我们希望将该应用程序包含在具有不同域的网站上的iframe中。
仅在“本地”域上使用该应用程序时,或者仅通过iframe使用该应用程序时,此方法效果很好。但是,当用户开始混合使用时,iOS野生动物园将开始将我们的cookie识别为跟踪cookie并阻止它们。诸如Privacy Badger之类的浏览器扩展程序将执行相同的操作。
要在iframe中对我们的应用程序(app.com)进行身份验证,顶层窗口(client.com)将重定向到app.com,在此处对请求进行身份验证并设置cookie。然后,App.com重定向回到client.com,后者又将app.com装入iframe。通过这样做,我们可以解决在iframe中设置Cookie的问题,效果很好。
但是我们正在做的事情看起来好像我们在跨会话中跟踪用户一样,我们不需要这样做。
我们今天设置的没有过期的Cookie是:
hapijs和crumb用作csrf令牌。io cookie https://socket.io/docs/server-api/ 会话cookie的有效期限很短,但也许是看起来最像跟踪cookie的一个cookie。由于我们使用第三方身份验证服务,因此无法将其设置为sameSite。
我如何开始确定跟踪阻止程序所针对的是什么?
是否将所有/所有cookie都标识为跟踪cookie?