First-Party Sets

First-Party Sets とは

Cross Origin であっても、First Party として扱うための方法のよう。
2021年9月時点で、まだ提案されている機能なので、Web標準とかではないです。

例えば https://example.com/.well-known/first-party-set のようなパスに、First Party として扱いたいドメイン全部にJSONファイルを配置配置する。
ブラウザはその情報を見て、Cross Origin であっても First Party と判断するらしい。

Google の解説記事

英語です。

First-Party Sets and the SameParty attribute - Chrome Developers

Mozilla

Mozilla は harmful (有害) との立場を示しているようです。

https://mozilla.github.io/standards-positions/#first-party-sets
capture.png

感想

便利な面は確かにあるとは思うけど、セキュリティや仕様の複雑さを考えると、私は反対の立場です。
ドメイン的には Cross Origin だけど、実は First Party 扱いだったなんていうのはすごい厄介になりそう。
それに、知らないと全然わからない挙動になりそうなので、そういう意味でも避けたい。

Cross Origin といえば CORS (Cross Origin Resource Sharing) だけど、更に前提として考えないといけないことが増えるのか・・・、と思うと辛いなぁ。

関連