HTTP istekleri User-Agent veya Content-Type gibi üstbilgiler içerir. Android uygulamaları, tarayıcılar tarafından eklenen üstbilgilerin yanı sıra EXTRA_HEADERS
Intent ekstrası aracılığıyla çerez veya yönlendiren gibi ek üstbilgiler de ekleyebilir. Güvenlik nedeniyle Chrome, bir niyetin nasıl ve nerede başlatıldığına bağlı olarak ek üstbilgilerin bazılarını filtreler.
İstemci ve sunucu aynı tarafa ait olmadığından kaynaklar arası istekler ek bir güvenlik katmanı gerektirir. Bu kılavuzda, bu tür isteklerin Chrome özel sekmeleri (yani tarayıcı sekmesinde bir URL açan uygulamalardan başlatılan amaçlar) aracılığıyla başlatılması ele alınmaktadır. Chrome 83'e kadar geliştiriciler, özel sekme başlatırken istedikleri üstbilgileri ekleyebiliyordu. Chrome, 83 sürümünden itibaren onaylananlar listesinde olmayan üstbilgeler güvenlik riski oluşturduğundan onaylananlar listesindeki kaynak dışı üstbilgeler dışındaki tüm üstbilgileri filtrelemeye başladı. Chrome 86'dan itibaren, sunucu ve istemci bir dijital öğe bağlantısı kullanılarak ilişkilendirildiğinde, kaynaktan kaynaka isteklere onay listesindeki olmayan üstbilgilerin eklenmesi mümkün hale geldi. Bu davranış aşağıdaki tabloda özetlenmiştir:
Chrome sürümü | CORS başlıklarına izin verilir |
---|---|
Chrome 83'ten önce | approvelisted, non-approvelisted |
Chrome 83 - Chrome 85 | approvelisted |
Chrome 86 ve sonraki sürümler | dijital varlık bağlantısı ayarlandığında, onaylananlar listesinde bulunan, onaylanmayan |
Tablo 1: Onaylanmışlar listesinde olmayan CORS başlıklarının filtrelenmesi.
Bu makalede, sunucu ile istemci arasında nasıl doğrulanmış bir bağlantı oluşturulacağı ve bu bağlantının, onaylanmış listede yer alan ve onaylanmış listede yer almayan HTTP üstbilgilerini göndermek için nasıl kullanılacağı gösterilmektedir. Kod için Özel Sekme Intent'lerine Ek Üstbilgi Ekleme bölümüne atlayabilirsiniz.
Arka plan
Onaylanmış liste ve onaylanmamış liste CORS istek başlıkları
Kaynaklar Arası Kaynak Paylaşımı (CORS), bir kaynaktaki web uygulamasının farklı bir kaynaktaki kaynakları istemesine olanak tanır. CORS-approvelisted başlıkları listesi HTML Standardı'nda tutulur. Onaylananlar listesindeki örnek başlıklar aşağıdaki tabloda gösterilmektedir:
Header | Açıklama |
---|---|
accept-language | Müşterinin anladığı doğal dillerin reklamını yapıyor |
content-language | Mevcut kitleye yönelik dili açıklar |
içerik türü | kaynağın medya türünü gösterir |
Tablo 2: Onay listesindeki CORS başlıkları örneği.
Onaylananlar listesindeki başlıklar, hassas kullanıcı bilgileri içermediği ve sunucunun zararlı olabilecek işlemler gerçekleştirmesine neden olma olasılığı düşük olduğu için güvenli kabul edilir.
Onaylananlar listesinde bulunmayan başlıklara örnekler aşağıdaki tabloda verilmiştir:
Header | Açıklama |
---|---|
bearer-token | İstemcinin kimliğini sunucuda doğrular. |
kaynak | İsteğin kaynağını belirtir |
çerez | sunucu tarafından ayarlanan çerezleri içerir |
Tablo 3: Onaylanmamış liste dışı CORS başlıkları örneği.
HTML standardı, onay listesindeki olmayan başlıkların CORS isteklerine eklenmesi konusunda uyarıda bulunur ve sunucular, kaynakta farklı olan isteklerin yalnızca onay listesindeki başlıkları içerdiğini varsayar. Çapraz kaynak alan adlarından onaylanmamış başlıkların gönderilmesi, kötü amaçlı üçüncü taraf uygulamalarının Chrome'un (veya başka bir tarayıcının) depolayıp isteklere eklediği kullanıcı çerezlerini kötüye kullanan başlıklar oluşturmasına izin verir. Çerezler, aksi takdirde mümkün olmayan kötü amaçlı sunucu işlemlerinin kimliğini doğrulayabilir.
Özel Sekme isteklerine onaylanmış CORS başlıklarını ekleme
Özel Sekmeler, web sayfalarını özelleştirilmiş bir tarayıcı sekmesinde başlatmanın özel bir yoludur. Özel Sekme intent'leri CustomTabsIntent.Builder()
kullanılarak oluşturulabilir. Browser.EXTRA_HEADERS
işareti olan bir Bundle
kullanarak bu amaçlara başlık da ekleyebilirsiniz:
CustomTabsIntent intent = new CustomTabsIntent.Builder(session).build();
Bundle headers = new Bundle();
headers.putString("bearer-token", "Some token");
headers.putString("redirect-url", "Some redirect url");
intent.intent.putExtra(Browser.EXTRA_HEADERS, headers);
intent.launchUrl(Activity.this, Uri.parse("http://www.google.com"));
Onaylanmışlar listesindeki başlıkları, özel sekme CORS isteklerine her zaman ekleyebiliyoruz. Ancak Chrome, onaylanmayan üstbilgileri varsayılan olarak filtreler. Diğer tarayıcıların davranışı farklı olsa da geliştiricilerin, onaylananlar listesinde olmayan başlıkların genel olarak engellenmesini beklemesi gerekir.
Onaylanmışlar listesindeki olmayan üstbilgilerin özel sekmelere eklenmesi için desteklenen yöntem, önce dijital erişim bağlantısı kullanarak kaynakta çapraz bağlantıyı doğrulamaktır. Sonraki bölümde, bunların nasıl ayarlanacağı ve gerekli başlıklarla Özel Sekmeler isteği nasıl başlatılacağı gösterilmektedir.
Özel Sekme Intent'lerine Ek Üstbilgi Ekleme
Dijital öğe bağlantıları oluşturma
Onay listesindeki olmayan üstbilgilerin Özel Sekme intent'leri üzerinden iletilmesine izin vermek için Android ve web uygulaması arasında, yazarın her iki uygulamanın da sahibi olduğunu doğrulayan bir dijital öğe bağlantısı oluşturmanız gerekir.
Dijital öğe bağlantısı oluşturmak için resmi kılavuzdaki talimatları uygulayın. Bağlantı ilişkisi için "delegate_permission/common.use_as_origin"" ifadesini kullanın. Bu ifade, bağlantı doğrulandıktan sonra her iki uygulamanın da aynı kaynağa ait olduğunu gösterir.
Ek Üstbilgilerle Özel Sekme Niyeti Oluşturma
Özel Sekmeler intent'i oluşturmanın birden çok yolu vardır. Kitaplığı derleme bağımlılıklarına ekleyerek androidX'te bulunan oluşturucuyu kullanabilirsiniz:
MULTI_LINE_CODE_PLACEHOLDER_1
Niyeti oluşturun ve ek üstbilgi ekleyin:
MULTI_LINE_CODE_PLACEHOLDER_2
Öğe bağlantısını doğrulamak için özel sekme bağlantısı oluşturma
Özel Sekmeler bağlantısı, uygulama ile Chrome sekmesi arasında CustomTabsSession
oluşturmak için kullanılır. Uygulamanın ve web uygulamasının aynı kaynağa ait olduğunu doğrulamak için oturuma ihtiyacımız var.
Doğrulama yalnızca dijital öğe bağlantıları doğru şekilde ayarlanmışsa geçer.
CustomTabsClient.warmup()
numaralı telefonu aramanız önerilir. Bu, tarayıcı uygulamasının arka planda ön başlatmasına ve URL açma sürecini hızlandırmasına olanak tanır.
MULTI_LINE_CODE_PLACEHOLDER_3
Doğrulama işleminden sonra intent'i başlatan bir geri çağırma ayarlama
CustomTabsCallback
oturuma aktarıldı. onRelationshipValidationResult()
, kaynak doğrulaması başarılı olduğunda önceden oluşturulmuş CustomTabsIntent
'ı başlatacak şekilde ayarlanır.
MULTI_LINE_CODE_PLACEHOLDER_4
Özel sekmeler hizmet bağlantısını bağlama
Hizmetin bağlanması, hizmeti başlatır ve sonunda bağlantının onCustomTabsServiceConnected()
çağrılır. Hizmetin bağlantısını uygun şekilde kaldırmayı unutmayın. Bağlama ve çözme işlemleri genellikle onStart()
ve onStop()
etkinlik yaşam döngüsü yöntemlerinde yapılır.
// Bind the custom tabs service connection.
// Call this in onStart()
CustomTabsClient.bindCustomTabsService(this,
CustomTabsClient.getPackageName(MainActivity.this, null), connection);
// …
// Unbind the custom tabs service.
// Call this in onStop().
unbindService(connection);
Demo uygulama kodu
Özel Sekmeler Hizmeti hakkında daha fazla bilgiyi burada bulabilirsiniz. Çalışan bir örnek uygulama için android-browser-helper GitHub deposuna bakın.
Özet
Bu kılavuzda, özel sekme CORS isteklerine rastgele başlıkların nasıl ekleneceği gösterilmiştir. Onaylanmış liste başlıkları, her özel sekme CORS isteğine eklenebilir. Onaylanmayan başlıklar, CORS isteklerinde genellikle güvenli olmadığı kabul edilir ve Chrome bunları varsayılan olarak filtreler. Yalnızca dijital varlık bağlantısıyla doğrulanan aynı kaynağa sahip istemci ve sunucularda bunların eklenmesine izin verilir.