Cloudflare Docs
Support
Support
Visit Support on GitHub
Set theme to dark (⇧+D)

Entender la interacción de cookies de SameSite con Cloudflare

​​ Información general

La cookie SameSite de Google Chrome cambia el modo en el que Google Chrome gestiona el control de SameSite.  Google fuerza a SameSite a proteger ante las cookies de marketing que rastrean a los usuarios y la Falsificación de solicitud en sitios cruzados (CSRF), que permite a los atacantes robar o manipular tus cookies.  

La cookie SameSite tiene 3 modos diferentes:

  • Estricto: las cookies las crea la propia parte (el dominio visitado). Por ejemplo, Cloudflare establece una cookie propia al visitar Cloudflare.com.
  • Laxo: las cookies solo se envían al vértice del dominio (p. ej. *.foo.com).  Por ejemplo, si alguien (blog.naughty.com) vinculó directamente una imagen (img.foo.com/bar.png), el cliente no envía una cookie a img.foo.com, ya que no es ni propia ni un contexto de vértice.
  • Ninguno: las cookies se envían con todas las solicitudes.

La configuración de SameSite para las cookies de Cloudflare incluyen:

Cookie de CloudflareConfiguración de SameSiteSolo HTTP
__cfduidSameSite=LaxNo
__cf_bmSameSite=None; Secure
cf_clearanceSameSite=None; Secure
__cfruidSameSite=None; Secure
__cflbSameSite=LaxNo

​​ Problemas conocidos con las cookies SameSite y cf_clearance

Cuando un CAPTCHA de Cloudflare o un desafío de JavaScript se resuelve como una Regla de firewall o una Regla de acceso IP, se configura una cookie de cf_clearance en el navegador del cliente. La cookie cf_clearance tiene una vida predeterminada de 30 minutos, pero se configura mediante la Duración del acceso autorizado en la pestaña Configuración de la aplicación Firewall de Cloudflare .

Cloudflare utiliza SameSite=None, ya que la cookie cf_clearance, de modo que las solicitudes de los visitantes de diferentes nombres de host no se cumplan con desafíos o errores posteriores. Cuando se usa SameSite=None, debe configurarse junto con la marca Secure.

El uso de la marca Secure requiere el envío de la cookie mediante una conexión HTTP.  La cookie cf_clearance se establece por defecto a SameSite=Lax si se utiliza HTTP en cualquier parte de tu sitio web y puede causar problems en el sitio web.

Si usas HTTP en cualquier parte de tu sitio web, la cookie cf_clearance se establece por defecto a SameSite=Lax, que podría hacer que tu sitio web no funcionarar correctamente. Para resolver el problema, traslada el tráfico de tu sitio web a HTTPS.  Cloudflare ofrece dos funciones para ayudar: 


​​ Recursos relacionados