Le risorse cross-origin pubblicate da terze parti spesso non includono intestazioni CORP adeguate. Se possono essere richieste senza credenziali, ora puoi attivare l'isolamento cross-origin contrassegnandole come tali.
Abbiamo rilasciato il nuovo valore del criterio di incorporamento tra origini (COEP)credentialless
che consente al browser di caricare risorse tra origini che non utilizzano il criterio delle risorse tra origini (CORP) inviando una richiesta senza credenziali, come i cookie. In questo modo, gli sviluppatori possono adottare più facilmente l'isolamento cross-origin.
Perché abbiamo bisogno dell'isolamento multiorigine
Alcune API web aumentano il rischio di attacchi lato canale come Spectre. Per attenuare questo rischio, i browser offrono un ambiente isolato basato su attivazione chiamato isolamento multiorigine. Con uno stato di isolamento tra origini, la pagina web può utilizzare funzionalità privilegiate, tra cui SharedArrayBuffer
, performance.measureUserAgentSpecificMemory()
e timer ad alta precisione con una risoluzione migliore, isolando al contempo l'origine dalle altre, a meno che non siano attivate.
La pagina web deve inviare due intestazioni HTTP per attivare l'isolamento multiorigine:
Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin
Con uno stato isolato cross-origin, tutte le risorse cross-origin devono essere pubblicate con CORS o impostare un'intestazione Cross-Origin-Resource-Policy
da caricare.
Problemi relativi all'attivazione dell'isolamento multiorigine
Sebbene l'isolamento cross-origin offra alle pagine web una maggiore sicurezza e la possibilità di attivare funzionalità potenti, il suo implementazione può essere difficile. Uno dei maggiori problemi è il requisito di attivare CORS o CORP per tutte le risorse cross-origin. Le risorse senza queste intestazioni non verranno caricate dal browser su una pagina isolata cross-origin.
Queste risorse cross-origin vengono in genere pubblicate da terze parti per le quali potrebbe non essere facile aggiungere le intestazioni necessarie.
Ma cosa succede se sappiamo che la risorsa è abbastanza sicura da essere caricata? Infatti, le uniche risorse a rischio sono quelle richieste con le credenziali, perché includono potenzialmente informazioni sensibili che l'aggressore non può caricare autonomamente. Ciò significa che le risorse che possono essere richieste senza credenziali sono disponibili pubblicamente e sicure da caricare.
credentialless
in soccorso
È qui che entra in gioco COEP: credentialless
. credentialless
è un nuovo valore per l'intestazione Cross-Origin-Embedder-Policy
. Come require-corp
, può attivare l'isolamento multiorigine, ma anziché richiedere un'intestazione CORP:cross-origin
per le richieste cross-origin no-cors, queste vengono inviate senza credenziali (ad esempio i cookie).
In alternativa, potrai attivare l'isolamento multiorigine con le seguenti due intestazioni:
Cross-Origin-Embedder-Policy: credentialless
Cross-Origin-Opener-Policy: same-origin
Ciò significa che il server cross-origin richiesto non potrà rispondere con una risorsa sensibile e l'autore della richiesta può sempre presumere che la risposta contenga solo informazioni disponibili pubblicamente.
Inoltre, è in linea con il piano dei browser di eliminare gradualmente i cookie di terze parti.
Demo
Puoi provare varie opzioni di intestazione in questa demo: https://cross-origin-isolation.glitch.me
Domande frequenti
Posso inviare una richiesta con credenziali in un ambiente credentialless
?
Assolutamente, a costo di modificare la modalità della richiesta in modo da richiedere un controllo CORS sulla risposta. Per i tag HTML come <audio>
, <img>
, <link>
, <script>
e <video>
, aggiungi crossorigin="use-credentials"
esplicitamente per informare il browser di inviare richieste con credenziali.
Ad esempio, anche se un documento su https://www.example.com
ha un'intestazione Cross-Origin-Embedder-Policy: credentialless
, <img
src="https://images.example.com/avatar.png" crossorigin="use-credentials">
invierà una richiesta con credenziali.
Per l'API fetch()
, puoi utilizzare request.mode = 'cors'
.
Dato che COEP: credentialless
, in che modo COEP: require-corp
è ancora utile per il mio sito web?
COEP: require-corp
non richiede di impostare manualmente la modalità di richiesta su CORS se sono necessari cookie per alcune risorse secondarie cross-origin.
Posso anche caricare iframe cross-origin senza intestazioni speciali in un ambiente credentialless
?
No. Il caricamento di iframe cross-origin in un ambiente credentialless
richiede ancora le stesse condizioni di require-corp
. I documenti iframe devono essere pubblicati con due intestazioni:
Cross-Origin-Embedder-Policy: credentialless
(orequire-corp
)Cross-Origin-Resource-Policy: cross-origin
La buona notizia è che è in corso una discussione sul consentire il caricamento di iFrame cross-origin senza queste intestazioni assegnando agli iFrame crossorigin="anonymous"
.
In questo modo, gli iframe cross-origin verranno caricati senza intestazioni, ma senza credenziali.
Questa funzionalità verrà adottata da altri browser?
- Problema di monitoraggio di Firefox
- Richiesta di posizione Webkit: Nessun segnale
- Richiesta di posizione del TAG W3C: In attesa
Passaggi successivi
Sono previsti altri due aggiornamenti per mitigare altri problemi relativi all'isolamento multiorigine:
Chi si è registrato alla prova dell'origine di Chrome per estendere la modifica di SharedArrayBuffer a causa degli ostacoli sopra indicati potrebbe chiedersi quando verrà interrotta. Inizialmente abbiamo annunciato che verrà interrotto in Chrome 96, ma abbiamo deciso di posticipare questa operazione a Chrome 106.
Risorse
- Rendere il tuo sito web "isolato da origini diverse" utilizzando COOP e COEP
- Perché hai bisogno di "isolamento multiorigine" per funzionalità efficaci
- Una guida per attivare l'isolamento multiorigine
- Aggiornamenti di SharedArrayBuffer in Chrome per Android 88 e Chrome per computer 92
Foto di Martin Adams su Unsplash