Wie wirkt sich die SameSite Cookie-Richtlinie von Chrome auf meine Integration aus?
Nach der Aktualisierung der SameSite-Cookie-Richtlinie durch Google Chrome haben einige Händler Probleme bei der Verarbeitung von umgeleiteten 3DS-Zahlungen im Chrome-Browser festgestellt, die auf eine spezifische Konfiguration Ihrer Integration zurückzuführen sind. Händler haben folgende Probleme gemeldet:
- 3DS1-Redirects
- 3DS2-Redirects
Über die SameSite-Cookie-Richtlinie von Google Chrome
In der aktualisierten Version von Chrome 80 und höher erzwingt Google Chrome ein Klassifizierungssystem für Secure-by-fault-Cookies. Das bedeutet, dass Cookies ohne SameSite-Attribut nicht in einem POST-Redirect-Callback enthalten sein werden. Cookies, die keinen SameSite-Wert deklarieren, wird der Standardwert „SameSite=Lax“ zugewiesen. Nur Cookies mit dem Wert „SameSite=None; Secure“ sind in Drittanbieter-Kontexten verfügbar, sofern auf Sie über eine sichere Verbindungen zugegriffen wird.
Wie stelle ich fest, ob sich dies auf meine Integration auswirkt?
Ob dies Auswirkungen auf Ihre Integration hat, hängt davon ab, ob Sie Cookies verwenden, um Zahlungsinformationen während der Verarbeitung von 3DS1-Autorisierungen zu speichern oder um 3DS2-Autorisierungen umzuleiten. Ein von uns häufig beobachteter Anwendungsfall ist z. B. das PaymentData-Attribut, das in den Cookies gespeichert wird.
Wie kann dies behoben werden?
Wir empfehlen Ihnen, Ihre Integration dahingehend zu prüfen, ob Sie POST-Redirect-Requests im aktualisierten Chrome-Browser bearbeiten können, aber gleichzeitig sicherzustellen, dass diese auch in älteren Browsern bearbeitet werden können. Bitte beachten Sie, dass das SameSite-Feld in älteren Browsern sowie in Safari und Firefox noch nicht umfassend unterstützt wird.
Implementierung von SameSite (von web.dev/samesite-cookie-recipes)
Bei Cookies, die in einem Drittanbieter-Kontext benötigt werden, müssen Sie sicherstellen, dass Sie als „SameSite=None; Secure“ gesichert sind. Beachten Sie bitte, dass Sie beide Attribute benötigen. Wenn Sie nur „None“ ohne „Secure“ festlegen, wird das Cookie abgelehnt. Es gibt jedoch einige gegenseitig inkompatible Unterschiede in den Browser-Implementierungen, sodass Sie möglicherweise einige der in dem folgenden Abschnitt Umgang mit inkompatiblen Clients beschriebenen mildernden Strategien anwenden müssen.
Set-Cookie: third_party_var=value; SameSite=None; Secure
Umgang mit inkompatiblen Clients (von web.dev/samesite-cookie-recipes)
Da es relativ neu ist, „None“ miteinzubeziehen, und da auch das aktualisierte Standardverhalten ein relativ neuer Vorgang ist, gibt es Inkonsistenzen zwischen den Browsern dabei, wie diese Änderungen behandelt werden. Sie können die Updates-Seite auf Chromium.org für derzeit bekannte Probleme lesen, deren Vollständigkeit jedoch nicht garantiert wird. Auch wenn dies nicht ideal ist, können Sie diese Behelfslösungen während der Übergangsphase einsetzen. Die allgemeine Regel ist jedoch, inkompatible Clients als Sonderfall zu behandeln. Schaffen Sie keine Ausnahmen für Browser, welche die neueren Regelungen umsetzen.
Die erste Option besteht darin, sowohl die Cookies im neuen als auch im alten Stil zu setzen:
Set-cookie: 3pcookie=value; SameSite=None; Secure
Set-cookie: 3pcookie-legacy=value; Secure
Browser, die das neuere Vorgehen implementieren, werden das Cookie mit dem SameSite-Wert setzen, während ältere Browser es möglicherweise ignorieren oder falsch setzen. Jedoch werden die gleichen Browser das 3pcookie-legacy-Cookie setzen. Bei der Verarbeitung von Cookies sollte die Seite zunächst das Vorhandensein der neuartigen Cookies prüfen und, falls diese nicht gefunden werden, auf alte Cookies zurückgreifen.
Beispiele in verschiedenen Programmiersprachen (von github.com/GoogleChromeLabs/samesite-examples)
Andere nützliche Links
Die folgenden Chrome-Dokumente können Sie unterstützen, falls Sie Änderungen innerhalb Ihrer Integration vornehmen müssen: SameSite-Cookie-Recipes, SameSite-3DSv1.0-Beispiele mit Ablaufdiagrammen und Umgang mit inkompatiblen Clients.
Wenn Sie versuchen, Ihren neuen 3DS-Ablauf zu testen, und nicht überprüfen können, ob Ihre Lösung funktioniert, aktivieren Sie bitte die experimentellen „Flags“ (chrome://flags) und setzen Sie alle Funktionen mit dem Namen „SameSite“ auf „Enabled“. Weitere Informationen zum Testen von Integrationen unter der Verwendung der SameSite-Cookies von Chrome finden Sie unter Tipps fürs Testen und Debugging von SameSite-Cookies.