Fazladan HTTP İstek Üstbilgileri ekleme

HTTP istekleri User-Agent veya Content-Type gibi üstbilgiler içerir. Android uygulamaları, tarayıcılar tarafından eklenen üstbilgilerin yanı sıra EXTRA_HEADERS Intent ekstrası aracılığıyla çerez veya yönlendiren gibi ek üstbilgiler de ekleyebilir. Güvenlik nedeniyle Chrome, bir niyetin nasıl ve nerede başlatıldığına bağlı olarak ek üstbilgilerin bazılarını filtreler.

İstemci ve sunucu aynı tarafa ait olmadığından kaynaklar arası istekler ek bir güvenlik katmanı gerektirir. Bu kılavuzda, bu tür isteklerin Chrome özel sekmeleri (yani tarayıcı sekmesinde bir URL açan uygulamalardan başlatılan amaçlar) aracılığıyla başlatılması ele alınmaktadır. Chrome 83'e kadar geliştiriciler, özel sekme başlatırken istedikleri üstbilgileri ekleyebiliyordu. Chrome, 83 sürümünden itibaren onaylananlar listesinde olmayan üstbilgeler güvenlik riski oluşturduğundan onaylananlar listesindeki kaynak dışı üstbilgeler dışındaki tüm üstbilgileri filtrelemeye başladı. Chrome 86'dan itibaren, sunucu ve istemci bir dijital öğe bağlantısı kullanılarak ilişkilendirildiğinde, kaynaktan kaynaka isteklere onay listesindeki olmayan üstbilgilerin eklenmesi mümkün hale geldi. Bu davranış aşağıdaki tabloda özetlenmiştir:

Chrome sürümü CORS başlıklarına izin verilir
Chrome 83'ten önce approvelisted, non-approvelisted
Chrome 83 - Chrome 85 approvelisted
Chrome 86 ve sonraki sürümler dijital varlık bağlantısı ayarlandığında, onaylananlar listesinde bulunan, onaylanmayan

Tablo 1: Onaylanmışlar listesinde olmayan CORS başlıklarının filtrelenmesi.

Bu makalede, sunucu ile istemci arasında nasıl doğrulanmış bir bağlantı oluşturulacağı ve bu bağlantının, onaylanmış listede yer alan ve onaylanmış listede yer almayan HTTP üstbilgilerini göndermek için nasıl kullanılacağı gösterilmektedir. Kod için Özel Sekme Intent'lerine Ek Üstbilgi Ekleme bölümüne atlayabilirsiniz.

Arka plan

Onaylanmış liste ve onaylanmamış liste CORS istek başlıkları

Kaynaklar Arası Kaynak Paylaşımı (CORS), bir kaynaktaki web uygulamasının farklı bir kaynaktaki kaynakları istemesine olanak tanır. CORS-approvelisted başlıkları listesi HTML Standardı'nda tutulur. Onaylananlar listesindeki örnek başlıklar aşağıdaki tabloda gösterilmektedir:

Header Açıklama
accept-language Müşterinin anladığı doğal dillerin reklamını yapıyor
content-language Mevcut kitleye yönelik dili açıklar
içerik türü kaynağın medya türünü gösterir

Tablo 2: Onay listesindeki CORS başlıkları örneği.

Onaylananlar listesindeki başlıklar, hassas kullanıcı bilgileri içermediği ve sunucunun zararlı olabilecek işlemler gerçekleştirmesine neden olma olasılığı düşük olduğu için güvenli kabul edilir.

Onaylananlar listesinde bulunmayan başlıklara örnekler aşağıdaki tabloda verilmiştir:

Header Açıklama
bearer-token İstemcinin kimliğini sunucuda doğrular.
kaynak İsteğin kaynağını belirtir
çerez sunucu tarafından ayarlanan çerezleri içerir

Tablo 3: Onaylanmamış liste dışı CORS başlıkları örneği.

HTML standardı, onay listesindeki olmayan başlıkların CORS isteklerine eklenmesi konusunda uyarıda bulunur ve sunucular, kaynakta farklı olan isteklerin yalnızca onay listesindeki başlıkları içerdiğini varsayar. Çapraz kaynak alan adlarından onaylanmamış başlıkların gönderilmesi, kötü amaçlı üçüncü taraf uygulamalarının Chrome'un (veya başka bir tarayıcının) depolayıp isteklere eklediği kullanıcı çerezlerini kötüye kullanan başlıklar oluşturmasına izin verir. Çerezler, aksi takdirde mümkün olmayan kötü amaçlı sunucu işlemlerinin kimliğini doğrulayabilir.

Özel Sekme isteklerine onaylanmış CORS başlıklarını ekleme

Özel Sekmeler, web sayfalarını özelleştirilmiş bir tarayıcı sekmesinde başlatmanın özel bir yoludur. Özel Sekme intent'leri CustomTabsIntent.Builder() kullanılarak oluşturulabilir. Browser.EXTRA_HEADERS işareti olan bir Bundle kullanarak bu amaçlara başlık da ekleyebilirsiniz:

CustomTabsIntent intent = new CustomTabsIntent.Builder(session).build();

Bundle headers = new Bundle();
headers.putString("bearer-token", "Some token");
headers.putString("redirect-url", "Some redirect url");   
intent.intent.putExtra(Browser.EXTRA_HEADERS, headers);

intent.launchUrl(Activity.this, Uri.parse("http://www.google.com"));

Onaylanmışlar listesindeki başlıkları, özel sekme CORS isteklerine her zaman ekleyebiliyoruz. Ancak Chrome, onaylanmayan üstbilgileri varsayılan olarak filtreler. Diğer tarayıcıların davranışı farklı olsa da geliştiricilerin, onaylananlar listesinde olmayan başlıkların genel olarak engellenmesini beklemesi gerekir.

Onaylanmışlar listesindeki olmayan üstbilgilerin özel sekmelere eklenmesi için desteklenen yöntem, önce dijital erişim bağlantısı kullanarak kaynakta çapraz bağlantıyı doğrulamaktır. Sonraki bölümde, bunların nasıl ayarlanacağı ve gerekli başlıklarla Özel Sekmeler isteği nasıl başlatılacağı gösterilmektedir.

Özel Sekme Intent'lerine Ek Üstbilgi Ekleme

Onay listesindeki olmayan üstbilgilerin Özel Sekme intent'leri üzerinden iletilmesine izin vermek için Android ve web uygulaması arasında, yazarın her iki uygulamanın da sahibi olduğunu doğrulayan bir dijital öğe bağlantısı oluşturmanız gerekir.

Dijital öğe bağlantısı oluşturmak için resmi kılavuzdaki talimatları uygulayın. Bağlantı ilişkisi için "delegate_permission/common.use_as_origin"" ifadesini kullanın. Bu ifade, bağlantı doğrulandıktan sonra her iki uygulamanın da aynı kaynağa ait olduğunu gösterir.

Ek Üstbilgilerle Özel Sekme Niyeti Oluşturma

Özel Sekmeler intent'i oluşturmanın birden çok yolu vardır. Kitaplığı derleme bağımlılıklarına ekleyerek androidX'te bulunan oluşturucuyu kullanabilirsiniz:

MULTI_LINE_CODE_PLACEHOLDER_1

Niyeti oluşturun ve ek üstbilgi ekleyin:

MULTI_LINE_CODE_PLACEHOLDER_2

Özel Sekmeler bağlantısı, uygulama ile Chrome sekmesi arasında CustomTabsSession oluşturmak için kullanılır. Uygulamanın ve web uygulamasının aynı kaynağa ait olduğunu doğrulamak için oturuma ihtiyacımız var. Doğrulama yalnızca dijital öğe bağlantıları doğru şekilde ayarlanmışsa geçer.

CustomTabsClient.warmup() numaralı telefonu aramanız önerilir. Bu, tarayıcı uygulamasının arka planda ön başlatmasına ve URL açma sürecini hızlandırmasına olanak tanır.

MULTI_LINE_CODE_PLACEHOLDER_3

Doğrulama işleminden sonra intent'i başlatan bir geri çağırma ayarlama

CustomTabsCallback oturuma aktarıldı. onRelationshipValidationResult(), kaynak doğrulaması başarılı olduğunda önceden oluşturulmuş CustomTabsIntent'ı başlatacak şekilde ayarlanır.

MULTI_LINE_CODE_PLACEHOLDER_4

Özel sekmeler hizmet bağlantısını bağlama

Hizmetin bağlanması, hizmeti başlatır ve sonunda bağlantının onCustomTabsServiceConnected() çağrılır. Hizmetin bağlantısını uygun şekilde kaldırmayı unutmayın. Bağlama ve çözme işlemleri genellikle onStart() ve onStop() etkinlik yaşam döngüsü yöntemlerinde yapılır.

// Bind the custom tabs service connection.
// Call this in onStart()
CustomTabsClient.bindCustomTabsService(this,
    CustomTabsClient.getPackageName(MainActivity.this, null), connection);

// …
// Unbind the custom tabs service.
// Call this in onStop().
unbindService(connection);

Demo uygulama kodu

Özel Sekmeler Hizmeti hakkında daha fazla bilgiyi burada bulabilirsiniz. Çalışan bir örnek uygulama için android-browser-helper GitHub deposuna bakın.

Özet

Bu kılavuzda, özel sekme CORS isteklerine rastgele başlıkların nasıl ekleneceği gösterilmiştir. Onaylanmış liste başlıkları, her özel sekme CORS isteğine eklenebilir. Onaylanmayan başlıklar, CORS isteklerinde genellikle güvenli olmadığı kabul edilir ve Chrome bunları varsayılan olarak filtreler. Yalnızca dijital varlık bağlantısıyla doğrulanan aynı kaynağa sahip istemci ve sunucularda bunların eklenmesine izin verilir.