En quoi la politique de Chrome en matière de cookies avec l'attribut <em>SameSite</em> affecte-t-elle mon intégration ?

À la suite de la mise à jour de Google Chrome sur sa politique en matière de cookies SameSite, certains marchands ont rencontré des difficultés lors du traitement de transactions 3DS redirigées dans le navigateur Chrome en raison de la configuration spécifique de leur intégration. Les marchands ont signalé des difficultés, notamment lors des situations suivantes :

  • Les redirections 3DS1
  • Les redirections 3DS2

Au sujet de la politique de Google Chrome concernant les cookies SameSite

Dans la toute derni√®re version de Chrome 80 et dans les versions ult√©rieures, Google Chrome applique un syst√®me de classement des cookies s√©curis√© par d√©faut. Les cookies sans attribut SameSite ne seront donc pas inclus dans un rappel de redirection POST. Les cookies n'ayant pas d√©clar√© de valeur SameSite se verront attribuer la valeur par d√©faut ¬ę¬†SameSite=Lax¬†¬Ľ. Seuls les cookies dont la valeur est ¬ę¬†SameSite=None; Secure¬†¬Ľ seront disponibles dans des contextes tiers, sous r√©serve qu'ils soient accessibles √† partir d'une connexion s√©curis√©e.

Comment en déterminer l'incidence sur mon intégration ?

L'impact sur votre intégration dépend de votre utilisation des cookies pour conserver les informations sur la transaction lors du traitement des autorisations 3DS1 ou pour rediriger les autorisations 3DS2. Un cas client fréquent est, par exemple, l'attribut paymentData qui est stocké dans les cookies.

Comment résoudre le problème ?

Nous vous recommandons de contr√īler votre int√©gration afin de vous assurer non seulement de votre capacit√© √† traiter les demandes de redirection POST sur la version actualis√©e du navigateur Chrome, mais √©galement de la possibilit√© de les traiter sur des navigateurs plus anciens. Veuillez noter que, tout comme dans les navigateurs Safari et Firefox, le champ SameSite n'est pas encore pris en charge par de nombreux anciens navigateurs.

Comment mettre en Ňďuvre SameSite (√† partir de web.dev/samesite-cookie-recipes)

Pour les cookies n√©cessaires dans un contexte avec tiers, vous devrez vous assurer qu'ils portent l'attribut SameSite=None; Secure. Veuillez noter que les deux attributs doivent √™tre utilis√©s ensemble. Si vous indiquez seulement None sans Secure, le cookie sera rejet√©. Toutefois, certaines diff√©rences de mise en Ňďuvre des navigateurs peuvent s'av√©rer incompatibles les unes avec les autres. Vous devrez donc utiliser certaines des strat√©gies d'att√©nuation d√©crites dans la section Traitement des clients incompatibles ci-dessous.

Set-Cookie: third_party_var=value; SameSite=None; Secure

Traitement des clients incompatibles (à partir de web.dev/samesite-cookie-recipes)

√Čtant donn√© que ces modifications visant √† inclure l'attribut None et √† mettre √† jour le comportement par d√©faut sont encore relativement r√©centes, les navigateurs pr√©sentent des incoh√©rences quant √† la mani√®re dont ces modifications sont trait√©es. Vous pouvez consulter la page des mises √† jour sur chromium.org pour les probl√®mes connus. Cependant, il n'est pas possible de dire si cette liste est exhaustive. Bien que ce ne soit pas parfait, il existe des solutions de rechange que vous pouvez utiliser pendant cette phase transitoire. En r√®gle g√©n√©rale, il convient n√©anmoins de traiter les clients incompatibles comme des cas particuliers. Il ne faut pas cr√©er d'exception pour les navigateurs qui appliquent les r√®gles les plus r√©centes.

Commencez par configurer les nouveaux et les anciens cookies :

Set-cookie: 3pcookie=value; SameSite=None; Secure

Set-cookie: 3pcookie-legacy=value; Secure

Les navigateurs qui adoptent le nouveau comportement définiront le cookie avec la valeur tandis que les autres navigateurs pourraient l'ignorer ou le configurer incorrectement. Toutefois, ces mêmes navigateurs définiront le cookie 3pcookie-legacy. Lors du traitement des cookies intégrés, le site doit d'abord vérifier la présence du nouveau style de cookie et, s'il n'est pas trouvé, se rabattre sur l'ancien cookie.

Quelques exemples dans diverses langues (à partir de github.com/GoogleChromeLabs/samesite-examples)

Autres liens utiles

Les documents Chrome suivants vous aideront dans l'√©ventualit√© o√Ļ des modifications seraient n√©cessaires dans le cadre de votre int√©gration : recettes de cookies SameSite, exemples de SameSite 3DSv1.0 avec diagrammes de s√©quence et Comment g√©rer les clients incompatibles.

Si vous souhaitez faire des essais sur votre nouveau flux 3DS et que vous ne pouvez pas v√©rifier si votre solution fonctionne, veuillez activer les drapeaux exp√©rimentaux (chrome://flags) et r√©gler toutes les fonctions nomm√©es ¬ę¬†SameSite¬†¬Ľ √† ¬ę¬†Enabled¬†¬Ľ. Veuillez vous reporter √† la section Conseils et astuces pour les essais et le d√©bogage des cookies SameSite pour plus d'informations sur la mani√®re de r√©aliser des essais sur les int√©grations utilisant les cookies SameSite de Chrome.

The illustration of support agent wearing a headset.

Avez-vous besoin de plus d'aide ?

Contactez notre équipe d'assistance

Envoyez-nous les détails de votre problème en y incluant des images ou des captures d'écran.

Envoyer une demande