Entender la interacción de cookies de SameSite con Cloudflare
Información general
La cookie SameSite de Google Chrome cambia el modo en el que Google Chrome gestiona el control de SameSite. Google fuerza a SameSite a proteger ante las cookies de marketing que rastrean a los usuarios y la Falsificación de solicitud en sitios cruzados (CSRF), que permite a los atacantes robar o manipular tus cookies.
La cookie SameSite tiene 3 modos diferentes:
- Estricto: las cookies las crea la propia parte (el dominio visitado). Por ejemplo, Cloudflare establece una cookie propia al visitar Cloudflare.com.
- Laxo: las cookies solo se envían al vértice del dominio (p. ej. *.foo.com). Por ejemplo, si alguien (blog.naughty.com) vinculó directamente una imagen (img.foo.com/bar.png), el cliente no envía una cookie a img.foo.com, ya que no es ni propia ni un contexto de vértice.
- Ninguno: las cookies se envían con todas las solicitudes.
La configuración de SameSite para las cookies de Cloudflare incluyen:
| Cookie de Cloudflare | Configuración de SameSite | Solo HTTP |
|---|---|---|
| __cfduid | SameSite=Lax | No |
| __cf_bm | SameSite=None; Secure | Sí |
| cf_clearance | SameSite=None; Secure | Sí |
| __cfruid | SameSite=None; Secure | Sí |
| __cflb | SameSite=Lax | No |
Problemas conocidos con las cookies SameSite y cf_clearance
Cuando un CAPTCHA de Cloudflare o un desafío de Javascript se resuelve como una Regla de firewall o una Regla de acceso IP, se configura una cookie de cf_clearance en el navegador del cliente. La cookie cf_clearance tiene una vida predeterminada de 30 minutos, pero se configura mediante la Duración del acceso autorizado en la pestaña Configuración de la aplicación Firewall de Cloudflare .
Cloudflare utiliza SameSite=None, ya que la cookie cf_clearance, de modo que las solicitudes de los visitantes de diferentes nombres de host no se cumplan con desafíos o errores posteriores. Cuando se usa SameSite=None, debe configurarse junto con la marca Secure.
El uso de la marca Secure requiere el envío de la cookie mediante una conexión HTTP. La cookie cf_clearance se establece por defecto a SameSite=Lax si se utiliza HTTP en cualquier parte de tu sitio web y puede causar problems en el sitio web.
Si usas HTTP en cualquier parte de tu sitio web, la cookie cf_clearance se establece por defecto a SameSite=Lax, que podría hacer que tu sitio web no funcionarar correctamente. Para resolver el problema, traslada el tráfico de tu sitio web a HTTPS. Cloudflare ofrece dos funciones para ayudar: