驴C贸mo afecta la pol铆tica de cookies SameSite de Chrome a mi integraci贸n?

Tras la actualizaci贸n de la pol铆tica de cookies SameSite de Google Chrome, algunos merchants han tenido problemas al procesar pagos con 3DS mediante redirecci贸n en el navegador Chrome, debido a la configuraci贸n espec铆fica de su integraci贸n. Los merchants han informado de problemas con:

  • Redirecci贸n con 3DS1
  • Redirecci贸n con 3DS2

Sobre la pol铆tica de cookies SameSite de Google Chrome

En la versi贸n actualizada de Chrome 80 y posteriores, Google Chrome est谩 aplicando un sistema de clasificaci贸n de cookies seguro en todos los casos. Esto significa que las cookies sin el atributo SameSite no se incluir谩n en una devoluci贸n de llamada de redirecci贸n POST. A las cookies que no hayan declarado un valor de SameSite se les asignar谩 el valor predeterminado "SameSite=Lax". Solo las cookies configuradas como "SameSite=None; Secure" estar谩n disponibles en contextos de terceros, siempre que se acceda a ellos desde una conexi贸n segura.

驴C贸mo s茅 si esto afecta a mi integraci贸n?

El hecho de que afecte a tu integraci贸n depende de si utilizas cookies para almacenar informaci贸n de pago mientras procesas autorizaciones 3DS1 o 3DS2 con redirecci贸n. Un caso bastante habitual es, por ejemplo, el almacenamiento del atributo paymentData en las cookies.

驴C贸mo se corrige?

Te recomendamos que verifiques tu integraci贸n para asegurarte de que puedes gestionar solicitudes de redirecci贸n POST en el navegador Chrome actualizado, pero tambi茅n para asegurarte de que se puedan gestionar en navegadores m谩s antiguos. Ten en cuenta que el campo SameSite todav铆a no es compatible con todos los navegadores m谩s antiguos, as铆 como Safari y Firefox.

C贸mo implementar SameSite (de web.dev/samesite-cookie-recipes)

Para las cookies necesarias en el contexto de un tercero, tendr谩s que asegurarte de que est茅n marcadas como SameSite=None; Secure. Ten en cuenta que necesitas los dos atributos juntos. Si solo especificas None sin Secure, la cookie se rechazar谩. No obstante, existen algunas diferencias mutuamente incompatibles en las implementaciones de los navegadores, por lo que es posible que tengas que utilizar algunas de las estrategias de mitigaci贸n que se describen en el apartado Gesti贸n de clientes incompatibles a continuaci贸n.

Set-Cookie: third_party_var=value; SameSite=None; Secure

Gesti贸n de clientes incompatibles (de web.dev/samesite-cookie-recipes)

Dado que estos cambios para incluir None y actualizar el comportamiento predeterminado siguen siendo relativamente nuevos, existen inconsistencias entre los navegadores en cuanto a c贸mo se gestionan estos cambios. En la p谩gina de actualizaciones en chromium.org

La primera opci贸n es configurar tanto las cookies de estilo nuevo como las de estilo antiguo:

Set-cookie: 3pcookie=value; SameSite=None; Secure

Set-cookie: 3pcookie-legacy=value; Secure

Los navegadores en los que se implementa el nuevo comportamiento configurar谩n la cookie con el valor SameSite, mientras que otros navegadores pueden ignorarla o configurarla incorrectamente. Sin embargo, esos mismos navegadores establecer谩n la cookie 3pcookie-legacy. Al procesar las cookies incluidas, el sitio debe verificar primero la presencia de la cookie del nuevo estilo y, si no se encuentra, recurrir a la cookie antigua.

Ejemplos en distintos idiomas (de github.com/GoogleChromeLabs/samesite-examples)

Otros enlaces 煤tiles

Los siguientes documentos de Chrome te ser谩n 煤tiles en caso de que se requieran cambios en tu integraci贸n: Recetas de cookies SameSite, Ejemplos de SameSite 3DSv1.0 con diagramas de secuencia y Resoluci贸n de clientes incompatibles.

Si est谩s intentando probar tu nuevo flujo de 3DS y no puedes comprobar si tu soluci贸n funciona, habilita los flags experimentales (chrome://flags) y configura todas las funciones denominadas "SameSite" como "Enabled". Consulta los consejos para probar y depurar cookies SameSite, para obtener m谩s informaci贸n sobre c贸mo realizar pruebas en integraciones utilizando cookies SameSite de Chrome.

The illustration of support agent wearing a headset.

驴Necesitas m谩s ayuda?

Contacta con nuestro equipo de Soporte

Env铆anos los detalles de tu problema a帽adiendo im谩genes o capturas de pantalla.