অতিরিক্ত HTTP অনুরোধ শিরোনাম যোগ করুন

Pavol Drotar

HTTP অনুরোধে ব্যবহারকারী-এজেন্ট বা বিষয়বস্তুর প্রকারের মতো শিরোনাম থাকে। ব্রাউজার দ্বারা সংযুক্ত শিরোনাম ছাড়াও, Android অ্যাপগুলি অতিরিক্ত শিরোনাম যোগ করতে পারে, যেমন কুকি বা রেফারার EXTRA_HEADERS ইন্টেন্ট অতিরিক্তের মাধ্যমে৷ নিরাপত্তার কারণে, কিভাবে এবং কোথায় একটি উদ্দেশ্য চালু করা হয়েছে তার উপর নির্ভর করে Chrome কিছু অতিরিক্ত শিরোনাম ফিল্টার করে।

ক্রস-অরিজিন অনুরোধের জন্য নিরাপত্তার একটি অতিরিক্ত স্তর প্রয়োজন কারণ ক্লায়েন্ট এবং সার্ভার একই পক্ষের মালিকানাধীন নয়। এই নির্দেশিকাটি Chrome কাস্টম ট্যাবগুলির মাধ্যমে এই ধরনের অনুরোধগুলি চালু করার বিষয়ে আলোচনা করে, অর্থাৎ ব্রাউজার ট্যাবে একটি URL খোলে এমন অ্যাপগুলি থেকে শুরু করা অভিপ্রায়গুলি৷ Chrome 83 পর্যন্ত, একটি কাস্টম ট্যাব চালু করার সময় ডেভেলপাররা যেকোনো শিরোনাম যোগ করতে পারে। সংস্করণ 83 এর পর থেকে, ক্রোম অনুমোদিত ক্রস-অরিজিন হেডার ব্যতীত সমস্ত ফিল্টার করা শুরু করেছে, যেহেতু অ-অনুমোদিত শিরোনামগুলি একটি নিরাপত্তা ঝুঁকি তৈরি করেছে৷ Chrome 86 দিয়ে শুরু করে, যখন সার্ভার এবং ক্লায়েন্ট একটি ডিজিটাল সম্পদ লিঙ্ক ব্যবহার করে সম্পর্কিত হয় তখন ক্রস-অরিজিন অনুরোধে অ-অনুমোদিত হেডার সংযুক্ত করা সম্ভব। এই আচরণটি নিম্নলিখিত টেবিলে সংক্ষিপ্ত করা হয়েছে:

সারণি 1.: অ-অনুমোদিত CORS শিরোনামগুলির ফিল্টারিং।

এই নিবন্ধটি দেখায় কিভাবে সার্ভার এবং ক্লায়েন্টের মধ্যে একটি যাচাইকৃত সংযোগ সেট আপ করতে হয় এবং অনুমোদিত এবং সেইসাথে অ-অনুমোদিত HTTP শিরোনাম পাঠাতে এটি ব্যবহার করে৷ আপনি কোডের জন্য কাস্টম ট্যাব ইন্টেন্টে অতিরিক্ত শিরোনাম যুক্ত করা এড়িয়ে যেতে পারেন।

পটভূমি

অনুমোদিত বনাম অ-অনুমোদিত CORS অনুরোধ শিরোনাম

ক্রস-অরিজিন রিসোর্স শেয়ারিং (CORS) একটি মূল থেকে একটি ওয়েব অ্যাপ্লিকেশনকে একটি ভিন্ন উত্সের সংস্থানগুলির অনুরোধ করার অনুমতি দেয়। CORS-অনুমোদিত হেডারের তালিকা HTML স্ট্যান্ডার্ডে রক্ষণাবেক্ষণ করা হয়। অনুমোদিত শিরোনামগুলির উদাহরণ পরবর্তী টেবিলে দেখানো হয়েছে:

সারণি 2.: উদাহরণ অনুমোদিত CORS হেডার।

অনুমোদিত শিরোনামগুলিকে নিরাপদ বলে মনে করা হয় কারণ এতে ব্যবহারকারীর সংবেদনশীল তথ্য থাকে না এবং সার্ভারের সম্ভাব্য ক্ষতিকারক ক্রিয়াকলাপগুলি সম্পাদন করার সম্ভাবনা নেই৷

অ-অনুমোদিত শিরোনামগুলির উদাহরণ নিম্নলিখিত সারণীতে দেখানো হয়েছে:

সারণি 3.: নন-অনুমোদিত CORS হেডারের উদাহরণ।

CORS অনুরোধে অ-অনুমোদিত শিরোনাম সংযুক্ত করা HTML মান দ্বারা নিরুৎসাহিত করা হয় এবং সার্ভারগুলি অনুমান করে যে ক্রস-অরিজিন অনুরোধগুলিতে শুধুমাত্র অনুমোদিত শিরোনাম রয়েছে৷ ক্রস-অরিজিন ডোমেনগুলি থেকে অ-অনুমোদিত শিরোনামগুলি পাঠানোর ফলে ক্ষতিকারক তৃতীয় পক্ষের অ্যাপগুলিকে শিরোনাম তৈরি করার অনুমতি দেবে যা ব্যবহারকারীর কুকিগুলিকে অপব্যবহার করে যা Chrome (বা অন্য ব্রাউজার) অনুরোধে সঞ্চয় করে এবং সংযুক্ত করে৷ কুকিজ দূষিত সার্ভার লেনদেন প্রমাণীকরণ করতে পারে যা অন্যথায় সম্ভব হবে না।

কাস্টম ট্যাব অনুরোধে CORS অনুমোদিত হেডার সংযুক্ত করা হচ্ছে

কাস্টম ট্যাবগুলি একটি কাস্টমাইজড ব্রাউজার ট্যাবে ওয়েব পৃষ্ঠাগুলি চালু করার একটি বিশেষ উপায়৷ CustomTabsIntent.Builder() ব্যবহার করে কাস্টম ট্যাব ইন্টেন্ট তৈরি করা যেতে পারে। আপনি Browser.EXTRA_HEADERS পতাকা সহ একটি Bundle ব্যবহার করে এই উদ্দেশ্যগুলির সাথে শিরোনামগুলি সংযুক্ত করতে পারেন:

CustomTabsIntent intent = new CustomTabsIntent.Builder(session).build();

Bundle headers = new Bundle();
headers.putString("bearer-token", "Some token");
headers.putString("redirect-url", "Some redirect url");   
intent.intent.putExtra(Browser.EXTRA_HEADERS, headers);

intent.launchUrl(Activity.this, Uri.parse("http://www.google.com"));

আমরা সবসময় কাস্টম ট্যাব CORS অনুরোধে অনুমোদিত শিরোনাম সংযুক্ত করতে পারি। যাইহোক, Chrome ডিফল্টরূপে অ-অনুমোদিত শিরোনাম ফিল্টার করে। যদিও অন্যান্য ব্রাউজারে ভিন্ন আচরন থাকতে পারে, তবে ডেভেলপারদের আশা করা উচিত যে অ-অনুমোদিত শিরোনামগুলি সাধারণভাবে ব্লক করা হবে।

কাস্টম ট্যাবে অ-অনুমোদিত শিরোনাম অন্তর্ভুক্ত করার সমর্থিত উপায় হল প্রথমে একটি ডিজিটাল অ্যাক্সেস লিঙ্ক ব্যবহার করে ক্রস-অরিজিন সংযোগ যাচাই করা। পরবর্তী বিভাগটি দেখায় যে কীভাবে এইগুলি সেট আপ করতে হয় এবং প্রয়োজনীয় শিরোনাম সহ একটি কাস্টম ট্যাব অভিপ্রায় চালু করতে হয়।

কাস্টম ট্যাব ইন্টেন্টে অতিরিক্ত হেডার যোগ করা হচ্ছে

ডিজিটাল সম্পদ লিঙ্ক সেট আপ করুন

অ-অনুমোদিত শিরোনামগুলিকে কাস্টম ট্যাব ইন্টেন্টের মাধ্যমে পাস করার অনুমতি দেওয়ার জন্য, অ্যান্ড্রয়েড এবং ওয়েব অ্যাপ্লিকেশনের মধ্যে একটি ডিজিটাল সম্পদ লিঙ্ক সেট আপ করা প্রয়োজন যা যাচাই করে যে লেখক উভয় অ্যাপ্লিকেশনের মালিক।

একটি ডিজিটাল সম্পদ লিঙ্ক সেট আপ করতে অফিসিয়াল গাইড অনুসরণ করুন. লিঙ্ক সম্পর্কের জন্য "delegate_permission/common.use_as_origin"` ব্যবহার করুন যা নির্দেশ করে যে লিঙ্কটি যাচাই করা হলে উভয় অ্যাপই একই উৎসের।

অতিরিক্ত শিরোনাম সহ কাস্টম ট্যাব অভিপ্রায় তৈরি করুন

একটি কাস্টম ট্যাব অভিপ্রায় তৈরি করার একাধিক উপায় রয়েছে৷ আপনি বিল্ড নির্ভরতাগুলিতে লাইব্রেরি যোগ করে অ্যান্ড্রয়েডএক্সে উপলব্ধ বিল্ডার ব্যবহার করতে পারেন:

implementation 'androidx.browser:browser:1.2.0'

অভিপ্রায় তৈরি করুন এবং অতিরিক্ত শিরোনাম যোগ করুন:

CustomTabsIntent constructExtraHeadersIntent(CustomTabsSession session) {
    CustomTabsIntent intent = new CustomTabsIntent.Builder(session).build();

    // Example non-cors-approvelisted headers.
    Bundle headers = new Bundle();
    headers.putString("bearer-token", "Some token");
    headers.putString("redirect-url", "Some redirect url");
    intent.intent.putExtra(Browser.EXTRA_HEADERS, headers);
    return intent;
}

সম্পদ লিঙ্ক যাচাই করতে একটি কাস্টম ট্যাব সংযোগ সেট আপ করুন৷

একটি কাস্টম ট্যাব সংযোগ অ্যাপ এবং Chrome ট্যাবের মধ্যে একটি CustomTabsSession সেট আপ করার জন্য ব্যবহৃত হয়৷ অ্যাপ এবং ওয়েব অ্যাপ একই উৎসের কিনা তা যাচাই করার জন্য আমাদের সেশনের প্রয়োজন। ডিজিটাল সম্পদের লিঙ্কগুলি সঠিকভাবে সেট আপ করা থাকলেই কেবলমাত্র যাচাইকরণ পাস হয়৷

CustomTabsClient.warmup() কল করতে উৎসাহিত করা হচ্ছে। এটি ব্রাউজার অ্যাপ্লিকেশনটিকে পটভূমিতে প্রাক-সূচনা করতে এবং URL খোলার প্রক্রিয়াটিকে গতিশীল করতে দেয়।

// Set up a connection that warms up and validates a session.
CustomTabsServiceConnection connection = new CustomTabsServiceConnection() {
    @Override
    public void onCustomTabsServiceConnected(@NonNull ComponentName name, 
        @NonNull CustomTabsClient client) {
        // Create session after service connected.
        mSession = client.newSession(callback);
        client.warmup(0);
        // Validate the session as the same origin to allow cross origin headers.
        mSession.validateRelationship(CustomTabsService.RELATION_USE_AS_ORIGIN, 
            Uri.parse(url), null);
    }
    @Override
    public void onServiceDisconnected(ComponentName componentName) { }
};

একটি কলব্যাক সেট আপ করুন যা বৈধকরণের পরে অভিপ্রায় চালু করে

সেশনে CustomTabsCallback পাস করা হয়েছে। আমরা এটির onRelationshipValidationResult() সেট আপ করি পূর্বে তৈরি করা CustomTabsIntent চালু করার জন্য একবার অরিজিন যাচাইকরণ সফল হয়।

// Set up a callback that launches the intent after session validated.
CustomTabsCallback callback = new CustomTabsCallback() {
    @Override
    public void onRelationshipValidationResult(int relation, @NonNull Uri requestedOrigin, 
        boolean result, @Nullable Bundle extras) {
        // Launch custom tabs intent after session was validated as the same origin.
        CustomTabsIntent intent = constructExtraHeadersIntent(mSession);
        intent.launchUrl(MainActivity.this, Uri.parse(url));
    }
};

কাস্টম ট্যাব পরিষেবা সংযোগ আবদ্ধ করুন

পরিষেবাটিকে আবদ্ধ করলে পরিষেবাটি চালু হয় এবং সংযোগের onCustomTabsServiceConnected() অবশেষে বলা হবে৷ পরিষেবাটি যথাযথভাবে আনবাইন্ড করতে ভুলবেন না। বাইন্ডিং এবং আনবাইন্ডিং সাধারণত onStart() এবং onStop() কার্যকলাপ জীবনচক্র পদ্ধতিতে করা হয়।

// Bind the custom tabs service connection.
// Call this in onStart()
CustomTabsClient.bindCustomTabsService(this,
    CustomTabsClient.getPackageName(MainActivity.this, null), connection);

// …
// Unbind the custom tabs service.
// Call this in onStop().
unbindService(connection);

ডেমো অ্যাপ্লিকেশন কোড

আপনি এখানে কাস্টম ট্যাব পরিষেবা সম্পর্কে আরও বিশদ জানতে পারেন৷ একটি কাজের উদাহরণ অ্যাপের জন্য অ্যান্ড্রয়েড-ব্রাউজার-হেল্পার গিটহাব রিপোজিটরি দেখুন।

সারাংশ

এই গাইডটি দেখিয়েছে কিভাবে কাস্টম ট্যাব CORS অনুরোধে নির্বিচারে শিরোনাম যোগ করতে হয়। অনুমোদিত হেডার প্রতিটি কাস্টম ট্যাব CORS অনুরোধের সাথে সংযুক্ত করা যেতে পারে। অ-অনুমোদিত শিরোনামগুলি সাধারণত CORS অনুরোধগুলিতে অনিরাপদ বলে বিবেচিত হয় এবং ক্রোম ডিফল্টরূপে সেগুলিকে ফিল্টার করে৷ একটি ডিজিটাল সম্পদ লিঙ্ক দ্বারা যাচাই করা শুধুমাত্র একই উত্সের ক্লায়েন্ট এবং সার্ভারগুলির জন্য তাদের সংযুক্ত করার অনুমতি দেওয়া হয়৷