Почему Google Chrome добавляет защиту от кражи сессионных cookie

Google Chrome внедряет защиту от кражи сессионных cookie уже с марта 2026 года, используя SameSite‑by‑default и Cookie Partitioning для изоляции данных между сайтами. Это позволяет снизить количество атак на 30 % и уменьшить потенциальные финансовые потери до 1 200 000 рублей на один инцидент.

Как работает новая защита от кражи сессионных cookie в Chrome?

Новая система автоматически помечает все новые сессионные cookie как SameSite=Lax, что запрещает их отправку при запросах с другого домена. При этом Cookie Partitioning создаёт отдельный контейнер для каждого первого‑партнёрского сайта, что делает невозможным их чтение сторонними скриптами.

Технически браузер разделяет cookie‑хранилище по «контексту сайта», а не только по домену. Если пользователь посещает example.com, его cookie не доступны для malicious-site.com, даже если последний пытается выполнить запросы через iframe или fetch‑API. Кроме того, Chrome вводит строгую проверку Secure и HttpOnly флагов, требуя их установки для всех cookie, содержащих токены доступа.

Почему кража сессионных cookie опасна для пользователей и бизнеса?

Кража сессионных cookie позволяет злоумышленнику получить доступ к аккаунту без ввода пароля, имитировать действия пользователя и совершать финансовые операции. По данным компании SecurityLab, в 2025 году более 45 % утечек данных были связаны именно с этим типом атаки.

Для компаний такие инциденты обходятся в среднем 1,2 млн рублей на расследование, компенсацию и восстановление репутации. Для пользователей утрата личных данных может привести к потере средств, кражам личных данных и длительным юридическим конфликтам.

Что изменилось в настройках Chrome после внедрения защиты?

В новых версиях Chrome (версии 119 и выше) в разделе Настройки → Конфиденциальность и безопасность → Cookie и другие данные сайта появился переключатель «Блокировать сторонние cookie по умолчанию». По умолчанию он включён, но пользователь может временно отключить его для совместимости.

Кроме того, в chrome://flags теперь доступен эксперимент «Enable Cookie Partitioning», который включён по умолчанию и не требует ручного включения. Для разработчиков добавлен новый заголовок Set-Cookie: Partitioned, позволяющий явно указывать необходимость разделения.

Как проверить, защищены ли ваши cookie после обновления?

Проверить защиту можно в три шага, используя встроенные инструменты Chrome DevTools.

• 1. Откройте сайт и нажмите F12 → вкладка Application → Cookies.
• 2. Выберите нужный домен и убедитесь, что у каждого cookie стоит атрибут SameSite=Lax или Strict, а также Secure и HttpOnly.
• 3. В консоли выполните document.cookie и проверьте отсутствие cookie, принадлежащих сторонним доменам.

Если хотя бы один cookie не соответствует требованиям, рекомендуется обновить серверный код и добавить соответствующие флаги.

Что делать, если ваш сайт ломается из‑за новых ограничений?

Если после обновления Chrome часть функций сайта перестала работать, первым делом проверьте совместимость кода с SameSite и Cookie Partitioning.

• 1. Проанализируйте запросы к API: убедитесь, что они отправляются с тем же доменом, что и основной сайт.
• 2. Добавьте к серверу заголовок Set-Cookie: SameSite=None; Secure только для тех cookie, которые действительно нужны в кросс‑доменных запросах.
• 3. При необходимости используйте OAuth 2.0 с токенами доступа вместо передачи сессионных cookie.
• 4. Тестируйте изменения в режиме инкогнито, чтобы исключить влияние кэшированных данных.
• 5. При длительных проблемах обратитесь к документации Chrome и обновите политику безопасности контента (CSP).

В большинстве случаев корректировка флагов и переход на токен‑базированную аутентификацию решают проблему за 2–3 дня разработки.

Воспользуйтесь бесплатным инструментом Cookie Scanner на toolbox-online.ru — работает онлайн, без регистрации.