En quoi la politique de Chrome en matière de cookies avec l'attribut <em>SameSite</em> affecte-t-elle mon intégration Magento ?
À propos de la politique de Chrome en matière de cookies avec l'attribut SameSite
Pour résoudre le problème lié aux cookies SameSite Cookie, nous vous recommandons vivement de mettre à jour votre Magento 2 et d'utiliser la dernière version.
La nouvelle politique de Chrome en matière de cookies avec l'attribut SameSite appliquée par Google (depuis le 11 août 2020) peut entraîner une augmentation du nombre d'abandons de l'authentification 3DS.
Pour les personnes qui utilisent Chrome 80 ou une version supérieure, Chrome applique un système de classification des cookies sécurisé par défaut qui traite les cookies qui n'ont pas de valeur SameSite déclarée comme des cookies SameSite=Lax. Seuls les cookies ayant la valeur SameSite=None; Secure seront disponibles dans des contextes tiers, à condition qu'ils soient accessibles avec des connexions sécurisées.
Remarque : le champ SameSite n’est pas encore largement pris en charge par les anciens navigateurs, ni par Safari et Firefox.
La solution
Une fois que nous avons constaté que nos marchands rencontraient des problèmes, nous avons immédiatement signalé ceux-ci à Magento dans leur section GitHub issue. Magento nous a indiqué s'attendre à des modifications du côté d'Adyen, lesquelles ont été publiées par nos développeurs. Magento va par ailleurs permettre aux développeurs de configurer le type de cookie SameSite pour chaque variable de cookie (à ajouter dans une des prochaines versions de Magento).
Dans notre nouvelle version (6.6.5.), nous avons résolu le problème de la Politique relative aux cookies Chrome, de manière à ce qu'aucune modification ne soit nécessaire de votre part. Nous avons intégré dans ces nouvelles versions un nouveau contrôleur qui reçoit la demande POST de la page émettrice après l'authentification 3DS1. Étant donné que le cookie de session n'est pas disponible ici (car la demande POST provient d'une URL externe), au lieu de traiter les données, nous les envoyons par POST vers le contrôleur de processus/redirection d'origine. Ce dernier peut désormais accéder au cookie puisque la requête provient de la même URL.
Si vous voulez tester votre solution, mais que les avertissements ne s'affichent pas, activez les balises expérimentales (chrome://flags) et paramétrez toutes les fonctions SameSite sur Enabled.