Risolvi i problemi comuni con i token di prova in meta tag, intestazioni e script.
Elenco di controllo
Per risolvere i problemi relativi a una prova dell'origine, risolvi ciascuno dei problemi riportati di seguito utilizzando i link forniti.
Prova
Le demo riportate di seguito mostrano ciascuno dei modi per fornire un token di prova dell'origine e accedere a una funzionalità di prova:
- ot-meta.glitch.me: token in un meta tag
origin-trial - ot-header.glitch.me: token in un'intestazione di risposta
Origin-Trial - ot-3p.glitch.me: token iniettato da uno script di terze parti
- ot-iframe.glitch.me: funzionalità di prova dell'origine a cui è stato eseguito l'accesso in un iframe
- ot-iframe-3p.glitch.me: esempi di iframe cross-origin
Utilizzare Chrome DevTools per controllare i token
A partire da Chrome 93, Strumenti per sviluppatori fornisce informazioni sulla prova dell'origine nel riquadro App per il frame selezionato.
Espandi il frame superiore per controllare i token di prova dell'origine disponibili per un frame secondario. Ad esempio, per la pagina demo all'indirizzo ot-iframe.glitch.me, puoi vedere che la pagina nell'iframe fornisce un token.
- Stato token: indica se la pagina ha un token valido. Tieni presente che per alcune prove dell'origine potrebbero esserci altri fattori, come limitazioni geografiche, che rendono la funzionalità di prova dell'origine non disponibile, nonostante la presenza di un token valido. I codici di stato di Chrome DevTools spiegano il significato di ogni codice per le prove dell'origine.
- Origine: l'origine web registrata per il token.
- Scadenza: la data/ora di scadenza massima (più recente) possibile per il token, che in genere corrisponde alla fine della prova. Non corrisponde alla data di validità del token visualizzata in Le mie registrazioni, che mostra per quanto tempo il token è attualmente valido e può essere esteso.
- Limitazione di utilizzo: limiti di utilizzo che possono essere impostati per alcune prove.
- Terza parte: indica se la corrispondenza di terze parti è attivata per il token. Questa opzione è disponibile per alcune prove dell'origine, in cui è necessario accedere a una funzionalità di prova su più siti da script di terze parti.
- Abbina sottodomini: indica se la corrispondenza dei sottodomini è abilitata per il token. Ciò consente di testare una funzionalità della prova dell'origine su più sottodomini di un'origine, senza richiedere un token diverso per ogni sottodominio.
In Chrome DevTools viene visualizzato un avviso accanto al nome della prova se quest'ultima non è disponibile per l'utente corrente, se il token è scaduto o se esistono altre limitazioni.
Codici di stato di Chrome DevTools
Scaduto: il token ha superato la data di scadenza. Il token dovrà essere rinnovato per generare un nuovo token con una nuova data di scadenza.
Codice sorgenteFeatureDisabled: la prova è attualmente disattivata.
Codice sorgenteFeatureDisabledForUser: questo token è stato designato come disabilitato per l'utente corrente tramite una limitazione di utilizzo alternativa. Consulta la sezione "Esclusioni dei sottoinsiemi utente" del documento sulla progettazione.
Codice sorgente 1
Codice sorgente 2Non sicura: l'origine della richiesta non è sicura e la prova non è abilitata per le origini non sicure. Come spiegato nel codice di convalida dei token della prova dell'origine: "Per i token di terze parti, sia l'origine corrente sia l'origine dello script devono essere sicure. A causa della corrispondenza dei sottodomini, l'origine del token potrebbe non corrispondere esattamente a una delle origini dello script fornite e il risultato non indica quale origine specifica è stata trovata. Ciò significa che non si tratta di una ricerca diretta per trovare l'origine dello script appropriata. Per evitare di ripetere tutti i confronti delle origini, esistono scorciatoie che dipendono dal numero di origini dello script fornite. Deve esserci almeno uno, altrimenti il token di terze parti non viene convalidato correttamente.
Codice sorgenteInvalidSignature: il token ha una firma non valida o non corretta.
Codice sorgenteFormato non valido: il token non è valido e non è stato possibile analizzarlo.
Codice sorgente
NotSupported: la prova dell'origine definita dal token non è supportata nell''embedder' di Chromium: un browser come Chrome o Edge, un WebView o un altro user agent.
Codice sorgenteRisultato positivo: il token è ben formato, non è scaduto, corrisponde a una funzionalità di prova dell'origine e viene richiesto da un'origine prevista.
Codice sorgenteTokenDisabled: il token è stato contrassegnato come disabilitato e non può essere utilizzato.
Codice sorgenteTrialNotAllowed: la prova dell'origine non è disponibile per l'utente corrente.
Codice sorgenteUnknownTrial: il token specifica un nome di funzionalità che non corrisponde a nessuna prova nota.
Codice sorgenteWrongOrigin: l'origine della richiesta non corrisponde a quella specificata nel token. che può includere lo schema, il nome host o la porta. Questo stato viene visualizzato anche se un token di terze parti viene fornito in un'intestazione HTTP, in un meta tag o in uno script in linea anziché in un file JavaScript esterno.
Codice sorgenteWrongVersion: versione del token errata: al momento sono supportate solo le versioni 2 e 3 del token.
Codice sorgente
Non funziona. 🤔
Se la prova dell'origine non funziona come previsto, assicurati di soddisfare le seguenti condizioni.
Stai eseguendo il test in Chrome, non in Chromium o in un altro browser
Le prove delle origini di Chrome sono progettate per funzionare per gli utenti di Chrome. Non fare affidamento sui token di prova dell'origine di Chrome per attivare le funzionalità di prova in altri browser, inclusi Chromium e altri browser basati su Chromium. Questo perché le prove dell'origine di Chrome sono specifiche per le funzionalità rese disponibili in Chrome per la sperimentazione.
Le prove dell'origine sono disponibili anche per Firefox e Microsoft Edge. La registrazione a una prova di origine di Firefox o Edge non attiverà una funzionalità in Chrome.
La prova dell'origine è attivata per le versioni di Chrome che accedono al tuo sito
L'accesso alle prove è limitato a versioni specifiche di Chrome. In alcuni casi, ciò può significare che una funzionalità di prova è disponibile solo per i canali Chrome precedenti a quello stabile: Canary, Dev e beta.
Puoi verificare la disponibilità della versione dalla pagina di registrazione per la prova:
Puoi controllare la versione di Chrome in uso all'indirizzo chrome://version.
La prova dell'origine non è disattivata dalle impostazioni di Chrome
Se un singolo utente segnala che una funzionalità non funziona, controlla che non sia disabilitata nelle impostazioni di Chrome. Ad esempio, le funzionalità di Privacy Sandbox
possono essere disattivate dalla pagina chrome://settings/privacySandbox.
Le parole chiave e la sintassi sono corrette
Assicurati di utilizzare parole chiave e sintassi appropriate per i token di prova dell'origine.
Per l'utilizzo proprietario, un token può essere fornito in un meta tag origin-trial:
<meta http-equiv="origin-trial" content="Aj4DysCv3VjknU3...">
In alternativa, è possibile fornire un token in un'intestazione della risposta Origin-Trial. Ecco un esempio di utilizzo di Express in Node.js:
app.use(function(req, res, next) {
res.setHeader('Origin-Trial', 'Aj4DysCv3VjknU3...')
next();
});
I token possono essere forniti anche utilizzando JavaScript:
function addTrialToken(tokenContents) {
const tokenElement = document.createElement('meta');
tokenElement.httpEquiv = 'origin-trial';
tokenElement.content = tokenContents;
document.head.appendChild(tokenElement);
}
L'origine del token proprietario corrisponde all'origine della pagina
Assicurati che il valore Origine web selezionato al momento della registrazione per una prova corrisponda all'origine della pagina contenente il metatag o l'intestazione che fornisce il token.
Ad esempio, se hai selezionato https://example.com come origine web:
Potresti ottenere un valore del token come questo:
Verifica che questo valore corrisponda al token utilizzato nella pagina per la quale stai cercando di risolvere il problema.
Per un token fornito in un meta tag, controlla il codice HTML:
<meta http-equiv="origin-trial" content="Aj4DysCv3VjknU3...">
Per un token fornito in un'intestazione, puoi controllare il valore del token nel riquadro della rete di Chrome DevTools in Intestazioni di risposta:
Il token proprietario viene pubblicato dall'origine che lo utilizza
Per consentire l'accesso a una funzionalità di prova dell'origine per il codice incluso in una pagina pubblicata dalla tua origine, fornisci un token di prova in un meta tag, in un'intestazione o tramite JavaScript dalla stessa origine.
L'origine registrata per un token deve corrispondere all'origine che lo pubblica.
L'origine del token di terze parti corrisponde all'origine dello script
Puoi registrarti per partecipare a una prova dell'origine per script inseriti in altre origini.
Ad esempio, se vuoi che gli script pubblicati da javascript-library.example partecipino a una prova dell'origine, devi registrare un token con la corrispondenza di terze parti per javascript-library.example.
Il valore di origine di un token di terze parti deve corrispondere all'origine dello script che lo inserisce.
Lo script di terze parti utilizza un token di terze parti
Non puoi consentire a uno script di terze parti di partecipare a una prova dell'origine sul tuo sito semplicemente registrando un token per l'origine e non per lo script.
Gli script di terze parti devono utilizzare token con la corrispondenza di terze parti attivata, inseriti tramite lo script stesso (non incluso in un meta tag o in un'intestazione sul tuo sito) con codice come il seguente:
function addTrialToken(tokenContents) {
const tokenElement = document.createElement('meta');
tokenElement.httpEquiv = 'origin-trial';
tokenElement.content = tokenContents;
document.head.appendChild(tokenElement);
}
Il token di terze parti viene fornito tramite uno script esterno, non un meta tag, un'intestazione HTTP o uno script incorporato
I token di terze parti vengono convalidati in base all'origine dello script che li ha iniettati, ma gli script in linea e i tag <meta> nel markup statico non hanno un'origine (ovvero un URL di origine).
Ciò significa che un token di terze parti deve essere fornito tramite uno script esterno, non in un tag <meta> o in uno script in linea. Non è importante se lo script esterno che inserisce il token proviene dalla stessa origine della pagina che la contiene o da un'origine diversa, purché l'origine dello script corrisponda a un'origine registrata per la prova.
Puoi guardare una demo di questa funzionalità all'indirizzo ot-iframe-3p.glitch.me.
L'accesso alle funzionalità di Origin trial è supportato per il metodo utilizzato per fornire un token di prova
Alcuni tipi di accesso alle funzionalità di Origin trials richiedono di fornire un token di prova in un modo specifico.
Ad esempio, l'unico modo per attivare l'accesso di prova all'origine per i worker di servizio e i worker condivisi è fornire un token in un'intestazione Origin-Trial.
La corrispondenza dei sottodomini è attivata per un token utilizzato in un sottodominio
Se una funzionalità della prova dell'origine non sembra funzionare su alcune pagine del tuo sito, controlla che i token siano configurati correttamente per i sottodomini che le forniscono.
Quando registri una prova dell'origine, puoi scegliere se associare tutti i sottodomini dell'origine:
Puoi anche associare sottodomini per i token di terze parti:
I token dei sottodomini non verranno emessi per le origini nell'elenco dei suffissi pubblici. Ad esempio, non puoi registrare un'origine come https://appspot.com o https://github.io, ma puoi registrarti per domini all'interno di quell'origine, come https://example.appspot.com o https://example.github.io.
Il token è ancora valido
I token sono validi per sei settimane dalla loro creazione. Inoltre, devi inviare un feedback per estendere la data di validità. Origin Trials Guide for Web Developers spiega come assicurarti che il token sia valido per un'intera prova dell'origine.
Puoi controllare la presenza di token attivi nella pagina Le mie registrazioni nella sezione Prove dell'origine di Chrome:
Chrome DevTools mostra lo stato Success se il token è ancora valido:
Se il token è scaduto, DevTools mostrerà lo stato Expired e nella
pagina Le mie registrazioni verrà visualizzata una sezione Token scaduti.
La prova dell'origine non è terminata
Puoi controllare la data di fine di una prova dell'origine dalla relativa pagina di registrazione:
Per le prove terminate, DevTools mostrerà un risultato simile a questo:
Ti verranno inviate email automatiche quando sarà necessario il feedback o quando un token sta per scadere, ma non al termine della prova.
La prova dell'origine è disponibile per l'utente corrente
Alcuni test delle origini non sono disponibili per alcuni utenti, anche se viene fornito un token valido.
Se non è disponibile una prova per l'utente corrente, Chrome DevTools mostrerà un avviso TrialNotAllowed:
Per ogni prova dell'origine verranno fornite informazioni sulle restrizioni di utilizzo e sulla disponibilità.
Come per qualsiasi funzionalità della piattaforma web, devi utilizzare il rilevamento delle funzionalità per verificare che una funzionalità di prova dell'origine sia supportata prima di utilizzarla.
Le limitazioni di utilizzo della prova dell'origine non sono state superate
Per impostazione predefinita, la funzionalità di prova dell'origine verrà attivata in qualsiasi pagina che abbia un token valido per la prova.
Tuttavia, salvo rare eccezioni, l'utilizzo della prova dell'origine è limitato a un massimo dello 0,5% di tutti i caricamenti di pagine di Chrome. La funzionalità di prova dell'origine verrà disattivata se l'utilizzo totale da parte di tutti gli utenti di Chrome supera questa quantità. DevTools mostrerà lo stato del token come disabilitato.
Non sono previsti limiti di utilizzo per le prove di ritiro, poiché non introducono nuove funzionalità e, di conseguenza, non comportano il rischio di rendere una parte significativa del web dipendente da una funzionalità di prova.
Alcuni periodi di prova offrono anche la possibilità di limitare l'utilizzo, il che significa che le funzionalità del periodo di prova dell'origine verranno disattivate per alcuni utenti. Questa opzione è disponibile nella pagina di registrazione per una prova dell'origine che la offre:
Se noti che l'accesso dei tuoi utenti a una funzionalità di prova dell'origine è inferiore alle aspettative, assicurati che sia selezionato "Limite standard".
Gli iframe forniscono i propri token
Per consentire l'accesso a una funzionalità di prova dell'origine, un iframe deve fornire un token in un meta tag, in un'intestazione HTTP o programmaticamente. Gli iframe non ereditano l'accesso alle funzionalità attivate per le pagine che li contengono.
ot-iframe.glitch.me mostra l'accesso a una funzionalità di prova dell'origine da un iframe. ot-iframe-3p.glitch.me fornisce diversi esempi di iframe cross-origin.
I criteri di autorizzazione sono configurati correttamente
Alcune funzionalità di prova dell'origine potrebbero essere interessate da un Permissions-Policy
header (in precedenza noto come Feature-Policy header). Puoi controllare questa impostazione nell'Intent to Experiment per la funzionalità di prova o nella documentazione per sviluppatori della funzionalità su web.dev o developer.chrome.com/blog.
Assicurati che la funzionalità a cui stai tentando di accedere non sia bloccata da una direttiva Permissions-Policy. Puoi controllare le intestazioni di risposta nel riquadro Rete di Chrome DevTools e visualizzare l'elenco completo delle funzionalità consentite nel riquadro Applicazione.
E i lavoratori?
Le funzionalità di prova dell'origine possono essere rese disponibili per i worker di servizio, i worker condivisi e i worker dedicati. Tuttavia, l'unico modo per consentire l'accesso per i service worker e i worker condivisi è fornire un token in un'intestazione Origin-Trial.
I lavoratori dedicati ereditano l'accesso alle funzionalità abilitate dal documento principale.
Il token viene fornito prima di accedere alla funzionalità
Assicurati che un token di prova dell'origine venga fornito prima di accedere a una funzionalità di prova. Ad esempio, se una pagina fornisce un token tramite JavaScript, assicurati che il codice per fornire il token venga eseguito prima del codice che tenta di accedere alla funzionalità di prova.
Demo delle prove dell'origine
- Token in un meta tag
- Token in un'intestazione
- Funzionalità a cui si accede in un iframe
- Token iniettato da script di terze parti
- ot-iframe-3p.glitch.me: esempi di iframe cross-origin
Scopri di più
- Iniziare a utilizzare le prove dell'origine di Chrome
- Prove dell'origine di terze parti
- Guida alle prove dell'origine per gli sviluppatori web
- Spiegazione della prova di Origin
- Eseguire una prova dell'origine
- Procedura per il lancio di nuove funzionalità in Chromium
- Intento di spiegare: demistificare la procedura di spedizione di Blink
- Utilizzare le prove dell'origine in Microsoft Edge
- Prove dell'origine per Firefox