تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

سياسة المُحيل التلقائية الجديدة في Chrome - scratch-origin-when-cross-origin

Maud Nalpas

قبل البدء:

إذا لم تكن متأكدًا من الفرق بين "الموقع الإلكتروني" و"المصدر"، اطّلِع على التعرّف على "الموقع الإلكتروني نفسه" و"المصدر نفسه".
لا يتضمّن عنوان Referer الحرف R، وذلك بسبب خطأ إملائي أصلي في المواصفات. تمت كتابة عنوان Referrer-Policy وreferrer في JavaScript وDOM بشكل صحيح.

ملخّص

تتطوّر المتصفّحات نحو سياسات المُحيل التلقائية المحسّنة للخصوصية، وذلك لتقديم بديل جيد في حال عدم ضبط سياسة على موقع إلكتروني.
يخطّط Chrome لتفعيل strict-origin-when-cross-origin تدريجيًا كسياسة تلقائية في الإصدار 85. قد يؤثر ذلك في حالات الاستخدام التي تعتمد على قيمة المُحيل من مصدر آخر.
هذه هي الإعدادات التلقائية الجديدة، ولكن لا يزال بإمكان المواقع الإلكترونية اختيار سياسة من اختيارها.
لتجربة التغيير في Chrome، فعِّل الميزة التجريبية على الرابط chrome://flags/#reduced-referrer-granularity. يمكنك أيضًا الاطّلاع على هذا العرض التجريبي لمحاولة تنفيذ التغيير.
بالإضافة إلى سياسة المُحيل، قد تتغيّر طريقة تعامل المتصفّحات مع المُحيلِين، لذا عليك الانتباه إلى ذلك.

ما هي التغييرات التي سيتم إجراؤها ولماذا؟

قد تتضمّن طلبات HTTP العنوان Referer الاختياري الذي يشير إلى المصدر أو عنوان URL لصفحة الويب الذي تم تقديم الطلب منه. يحدّد عنوان Referer-Policy البيانات التي تتوفّر في عنوان Referer، وبيانات التنقّل وإطارات iframe في document.referrer الوجهة.

إنّ المعلومات التي يتم إرسالها في رأس Referer في طلب من موقعك الإلكتروني يتم تحديدها حسب رأس Referrer-Policy الذي تحدّده.

مخطّط بياني: المُحيل الذي تم إرساله في
طلب — *Referrer-Policy وReferer:*

في حال عدم ضبط أي سياسة، يتم استخدام الإعداد التلقائي للمتصفّح. غالبًا ما تعتمد المواقع الإلكترونية على الإعدادات التلقائية للمتصفّح.

بالنسبة إلى عمليات التنقّل وإطارات iframe، يمكن أيضًا الوصول إلى البيانات الواردة في عنوان Referer من خلال JavaScript باستخدام document.referrer.

حتى وقت قريب، كانت no-referrer-when-downgrade سياسة تلقائية منتشرة على نطاق واسع في جميع المتصفّحات. ولكن في الوقت الحالي، يجري العديد من المتصفّحات مرحلة الانتقال إلى الإعدادات التلقائية التي تعزّز الخصوصية بشكل أكبر.

يخطّط Chrome لتبديل سياسته التلقائية من no-referrer-when-downgrade إلى strict-origin-when-cross-origin، بدءًا من الإصدار 85.

وهذا يعني أنّه في حال عدم ضبط أي سياسة لموقعك الإلكتروني، سيستخدم Chrome strict-origin-when-cross-origin تلقائيًا. يُرجى العِلم أنّه لا يزال بإمكانك ضبط سياسة من اختيارك، ولن يؤثر هذا التغيير إلا في المواقع الإلكترونية التي لم يتم ضبط سياسة لها.

ما تأثير هذا التغيير؟

strict-origin-when-cross-origin يوفّر المزيد من الخصوصية. باستخدام هذه السياسة، يتم إرسال المصدر فقط في عنوان Referer لطلبات المصادر المختلفة.

ويمنع ذلك تسرُّب البيانات الخاصة التي يمكن الوصول إليها من أجزاء أخرى من عنوان URL الكامل، مثل المسار وسلسلة طلب البحث.

مخطّط بياني: تم إرسال المُحيل
استنادًا إلى السياسة، لطلب من مصدر خارجي — *تم إرسال المُحيل (وdocument.referrer) لطلب من مصدر خارجي، استنادًا إلى السياسة.*

على سبيل المثال:

طلب من مصدر خارجي، تم إرساله من https://site-one.example/stuff/detail?tag=red إلى https://site-two.example/…:

مع no-referrer-when-downgrade: المُحيل: https://site-one.example/stuff/detail?tag=red.
مع strict-origin-when-cross-origin: المُحيل: https://site-one.example/.

ما الذي سيبقى على حاله؟

مثل no-referrer-when-downgrade، يكون strict-origin-when-cross-origin آمنًا: لا يتوفّر مُحيل (عنوان Referer وdocument.referrer) عند تقديم الطلب من مصدر HTTPS (آمن) إلى مصدر HTTP (غير آمن). بهذه الطريقة، إذا كان موقعك الإلكتروني يستخدم HTTPS (إذا لم يكن كذلك، اجعله من الأولويات)، لن يتم تسريب عناوين URL لموقعك الإلكتروني في طلبات غير HTTPS، لأنّ أي مستخدم على الشبكة يمكنه الاطّلاع عليها، ما يعرّض المستخدمين لصعوبات هجمات منتصف الطريق.
ضمن المصدر نفسه، تكون قيمة العنوان Referer هي عنوان URL الكامل.

على سبيل المثال: طلب من مصدر مماثل، تم إرساله من https://site-one.example/stuff/detail?tag=red إلى https://site-one.example/…:

مع strict-origin-when-cross-origin: المُحيل: https://site-one.example/stuff/detail?tag=red

ما هو التأثير؟

استنادًا إلى المناقشات مع المتصفّحات الأخرى وتجارب Chrome الخاصة التي تم إجراؤها في الإصدار 84، من المتوقّع أن يكون عدد الأعطال التي تظهر للمستخدمين محدودًا.

من المحتمل أن تتأثر دقة التسجيل أو الإحصاءات من جهة الخادم التي تعتمد على توفّر عنوان URL الكامل للمُحيل بانخفاض دقة هذه المعلومات.

الإجراءات المطلوبة منك

يخطّط Chrome لبدء طرح سياسة المُحيل التلقائية الجديدة في الإصدار 85 (تموز/يوليو 2020 للإصدار التجريبي، آب/أغسطس 2020 للإصدار الثابت). يمكنك الاطّلاع على الحالة في إدخال حالة Chrome.

فهم التغيير ورصده

لفهم التغييرات التلقائية الجديدة في الممارسة العملية، يمكنك الاطّلاع على العرض التجريبي.

يمكنك أيضًا استخدام هذا العرض التقديمي لرصد السياسة المطبَّقة في مثيل Chrome الذي تستخدمه.

اختبِر التغيير لمعرفة ما إذا كان سيؤثّر في موقعك الإلكتروني.

يمكنك تجربة التغيير اعتبارًا من الإصدار 81 من Chrome: يُرجى الانتقال إلى ‎ chrome://flags/#reduced-referrer-granularity في Chrome وتفعيل الميزة. عند تفعيل هذه العلامة، ستستخدم جميع المواقع الإلكترونية التي لا تتضمّن سياسة الإعداد التلقائي الجديد strict-origin-when-cross-origin.

لقطة شاشة لمتصفّح Chrome: كيفية
تفعيل العلامة chrome://flags/#reduced-referrer-granularity — *تفعيل العلامة*

يمكنك الآن التحقّق من أداء موقعك الإلكتروني وواجهة الخلفية.

من الإجراءات الأخرى التي يمكنك اتّخاذها لرصد التأثير هو التحقّق مما إذا كانت قاعدة بيانات موقعك الإلكتروني تستخدِم المُحيل، إما من خلال عنوان Referer للطلبات الواردة على الخادم، أو من document.referrer في JavaScript.

قد تتعذّر بعض الميزات على موقعك الإلكتروني أو تتصرف بشكلٍ مختلف إذا كنت تستخدِم المُحيل لطلبات من مصدر آخر إلى موقعك الإلكتروني (وتحديدًا المسار و/أو سلسلة الطلب) و يستخدم هذا المصدر سياسة المُحيل التلقائية للمتصفح (أي أنّه لم يتم ضبط أي سياسة).

إذا كان هذا الإجراء يؤثر في موقعك الإلكتروني، ننصحك بالتفكير في بدائل أخرى.

إذا كنت تستخدِم المُحيل للوصول إلى المسار الكامل أو سلسلة الطلب للطلبات الواردة إلى موقعك الإلكتروني، لديك بضعة خيارات:

استخدِم أساليب ورؤوسًا بديلة، مثل Origin وSec-fetch-Site، لحماية CSRF والتسجيل وحالات الاستخدام الأخرى. اطّلِع على المُحيل وسياسة المُحيل: أفضل الممارسات.
يمكنك الاتفاق مع الشركاء على سياسة معيّنة إذا كان ذلك ضروريًا وشفّافًا للمستخدمين. قد يكون التحكّم في الوصول، عندما تستخدم المواقع الإلكترونية المُحيل لمنح إذن وصول محدّد إلى مواردها إلى مصادر أخرى، أحد هذه الحالات، على الرغم من أنّه بعد إجراء التغيير في Chrome، سيظلّ المصدر مشترَكًا في Header Referer (وفي document.referrer).

يُرجى العِلم أنّ معظم المتصفّحات تسير في اتجاه مشابه عندما يتعلق الأمر بالمُحيل (اطّلِع على الإعدادات التلقائية للمتصفّح وتطوّراتها في مقالة المُحيل وسياسة المُحيل: أفضل الممارسات).

تنفيذ سياسة واضحة تعزّز الخصوصية على موقعك الإلكتروني

ما هو Referer الذي يجب إرساله في الطلبات التي نشأت من موقعك الإلكتروني، أي ما هي السياسة التي يجب ضبطها لموقعك الإلكتروني؟

على الرغم من التغيير الذي أجراه Chrome، من الأفضل وضع سياسة واضحة تعزّز الخصوصية مثل strict-origin-when-cross-origin أو أكثر صرامة في الوقت الحالي.

ويؤدي ذلك إلى حماية المستخدمين وجعل موقعك الإلكتروني يعمل بشكل أكثر قابلية للتنبؤ في جميع المتصفحات. في أغلب الأحيان، تمنحك هذه الميزة التحكّم في الإعدادات بدلاً من أن يعتمد موقعك الإلكتروني على الإعدادات التلقائية للمتصفح.

اطّلِع على المُحيل وسياسة المُحيل: أفضل الممارسات للحصول على تفاصيل عن إعداد سياسة.

لمحة عن Chrome Enterprise

تتوفّر سياسة Chrome Enterprise ForceLegacyDefaultReferrerPolicy لمشرفي تكنولوجيا المعلومات الذين يريدون فرض سياسة المُحيل التلقائية السابقة no-referrer-when-downgrade في بيئات المؤسسات. ويمنح ذلك المؤسسات وقتًا إضافيًا لاختبار تطبيقاتها وتعديلها.

ستتم إزالة هذه السياسة في الإصدار 88 من Chrome.

إرسال ملاحظات

هل لديك ملاحظات لمشاركتها أو مشكلة تريد الإبلاغ عنها؟ يمكنك مشاركة ملاحظاتك حول الإصدار القادم من Chrome، أو إرسال تغريدة تتضمّن أسئلتك على ‎@maudnals.

مع أطيب التحيّات لجميع المراجعين الذين قدّموا مساهمات وملاحظات، خاصةً Kaustubha Govind و David Van Cleve وMike West وSam Dutton وRowan Merewood وJxck وKayce Basques.