"সেমসাইট কুকিটি কারও কাছে সেট করবেন না" কীভাবে সতর্কতা ঠিক করবেন? ক্রোম এক্সটেনশন

আমি একটি ক্রোম এক্সটেনশন তৈরি করেছি এবং পপআপ.জেএস থেকে আমি পিএইচপি স্ক্রিপ্ট (Xhttprequest ব্যবহার করে) কল করেছি যা কুকি পড়ে। এটার মত:

$cookie_name = "mycookie";

if(isset($_COOKIE[$cookie_name]))
{
    echo $_COOKIE[$cookie_name];
}
else{
    echo "nocookie";
}

তবে আমি এক্সটেনশানগুলির ত্রুটিতে এ সতর্কতাটি পাচ্ছি।

ক্রস-সাইট সংস্থার সাথে যুক্ত একটি কুকি (এখানে আমার ডোমেন রয়েছে) SameSiteবৈশিষ্ট্য ছাড়াই সেট করা হয়েছিল । ভবিষ্যতের ক্রোমের প্রকাশ কেবল ক্রস-সাইট অনুরোধের সাথে কুকিজ বিতরণ করবে যদি সেগুলি সেট করা থাকে SameSite=NoneএবংSecure । আপনি অ্যাপ্লিকেশন> স্টোরেজ> কুকিজের অধীনে বিকাশকারী সরঞ্জামগুলিতে কুকিজ পর্যালোচনা করতে পারেন এবং https://www.chromestatus.com/feature/5088147346030592 এবং https://www.chromestatus.com/feature/5633521622188032 এ আরও বিশদ দেখতে পারেন ।

আমি এই জাতীয় একটি কুকি তৈরি করার চেষ্টা করেছি কিন্তু এটি কোনও লাভ হয়নি।

setcookie($cookie_name,$cookie_value, time() + 3600*24, "/;samesite=None ","mydomain.com", 1);

থেকে নিম্নলিখিত নির্দেশাবলী এই প্রশ্ন ।

আমি এটির জন্য একটি "ট্রায়াল এবং ত্রুটি" তেও আছি, তবে গুগল ক্রোম ল্যাবসের গিথুবের এই উত্তর আমাকে কিছুটা সহায়তা করেছিল। আমি এটিকে আমার মূল ফাইলে সংজ্ঞায়িত করেছি এবং এটি কাজ করেছে - ভাল, কেবলমাত্র একটি তৃতীয় পক্ষের ডোমেনের জন্য। এখনও পরীক্ষা নিচ্ছে, তবে আমি আরও ভাল সমাধান সহ এই উত্তরটি আপডেট করতে আগ্রহী :)

যদি আপনার সার্ভারের মতো আপনার 7.2 অবধি পিএইচপি থাকে:

header('Set-Cookie: cross-site-cookie=name; SameSite=None; Secure');

অথবা আপনার হোস্টটি ইতিমধ্যে 7.3 এ আপডেট করা থাকলে আপনি ব্যবহার করতে পারেন:

setcookie('cross-site-cookie', 'name', ['samesite' => 'None', 'secure' => true]);

আপনি কুকিগুলি যাচাই করে দেখার চেষ্টা করতে পারেন, নীচের পতাকাটি সক্ষম করুন, যা - তাদের নিজস্ব ভাষায় - "এই পরিবর্তন দ্বারা সম্ভাব্য প্রতিটি কুকির জন্য কনসোল সতর্কতা বার্তা যুক্ত করবে":

chrome://flags/#cookie-deprecation-messages

পুরো কোডটি এখানে দেখুন: https://github.com/GoogleChromeLabs/samesite-example/blob/master/php.md , তাদেরও কোড রয়েছে same-site-cookies।

নতুন বৈশিষ্ট্যটি আসার সাথে সাথে SameSite=Noneকুকিজকে অবশ্যই চিহ্নিত করতে হবেSecure করতে হবে বা সেগুলি প্রত্যাখ্যান করা হবে।

ক্রোমিয়াম আপডেটগুলি এবং এই ব্লগ পোস্টে পরিবর্তন সম্পর্কে আরও তথ্য খুঁজে পেতে পারেন

বিঃদ্রঃ : প্রশ্নের সাথে সরাসরি সম্পর্কিত নয়, তবে অন্যদের জন্য যারা এখানে এসেছেন তাদের পক্ষে উপকারী হতে পারে কারণ আমার ওয়েবসাইটের বিকাশের সময় এটি প্রথমে আমার উদ্বেগ ছিল:

যদি আপনি এমন কোনও তৃতীয় পক্ষের সাইটকে তালিকাবদ্ধ করে এমন প্রশ্ন থেকে সতর্কবার্তাটি দেখছেন (আমার ক্ষেত্রে এটি ছিল google.com, হু) - এর অর্থ তাদের এটি ঠিক করা দরকার এবং এটি আপনার সাইটের সাথে করার কিছুই নেই। অবশ্যই যদি সতর্কবাণীটি আপনার সাইটের উল্লেখ না করে তবে এক্ষেত্রে সংযোজনটি Secureএটি ঠিক করা উচিত।

>= PHP 7.3

setcookie('key', 'value', ['samesite' => 'None', 'secure' => true]);

< PHP 7.3

exploit the path
setcookie('key', 'value', time()+(7*24*3600), "/; SameSite=None; Secure");

Emitting javascript

echo "<script>document.cookie('key=value; SameSite=None; Secure');</script>";

আমি Mod_headers ইনস্টল করে ক্রোম 80 এর জন্য আমাদের উবুন্টু 18.04 / অ্যাপাচি ২.৪.২৯ / পিএইচপি .2.২ ইনস্টল ঠিক করেছি:

a2enmod headers

আমাদের অ্যাপাচি ভার্চুয়ালহস্ট কনফিগারেশনগুলিতে নিম্নলিখিত নির্দেশাবলী যুক্ত করা:

Header edit Set-Cookie ^(.*)$ "$1; Secure; SameSite=None"

এবং অ্যাপাচি পুনরায় চালু করা হচ্ছে:

service apache2 restart

দস্তাবেজগুলি পর্যালোচনা করার সময় ( http://www.balkangreenfoundation.org/manual/en/mod/mod_headers.html ) আমি লক্ষ্য করেছি যে "সর্বদা" শর্তের কিছু নির্দিষ্ট পরিস্থিতি রয়েছে যেখানে এটি প্রতিক্রিয়া শিরোনামগুলির একই পুল থেকে কাজ করে না। এইভাবে পিএইচপি দিয়ে "সর্বদা" ব্যবহার না করা আমার পক্ষে কাজ করে তবে ডকস সূচিত করে যে আপনি যদি আপনার সমস্ত ঘাঁটিটি আবরণ করতে চান তবে আপনি "সর্বদা" উভয়ই বা ছাড়া নির্দেশকে যুক্ত করতে পারেন। আমি এটা পরীক্ষা করিনি।