Webブラウザセキュリティ

Spectre

CORP

COOP

default - same-origin-allow-popups

X-Frame-Options

default - DENY

CSP: frame-ancestors

X-Content-Type-Options

nosniffオプション

cross-origin isolation

他のオリジンが混ざってない

この状態ならSharedArrayBufferやタイマーを使ってもいい

code:js

if (self.crossOriginIsolated) {

// SharedArrayBuffer etc is usable

}

Chromeはdocument.domainの廃止を目指している

window.postMessageを使って

same-originとsame-site

https://gyazo.com/09132ec060bb53e4eb966a7feeb7c4d5

Public Suffix List

サードパーティクッキーはクロスサイトトラッキングに使われている

主要ブラウザではデフォルトでブロックされている

First party set

same party

cookieを共有するわけではない

Cookieのベストプラクティス

https://gyazo.com/bb4f7b325e169ee09a476deb70b1f863

__Host-プレフィックス

Privacy Sandbox

Third Party Cookieの問題

実際にはWebプラットフォームの取り組み

FLoCを始めとした代替技術の開発 -> 3P cookieの廃止 -> fingerprintingの対策

User-Agent

fingaerprintingの対策

user-agentの情報の削減

UA-CH

プライバシーバジェット