【Web技术】使用COOP和COEP使您的网站“跨来源隔离”
使用COOP和COEP来建立一个跨原点的隔离环境,并以更好的精度启用强大的功能,如SharedArray Buffer、performance.measureUserAgentSpecificMemory()和高分辨率计时器。
注意:Chrome桌面上的SharedArrayBuffer需要从Chrome 92开始进行跨源隔离。在Android Chrome 88和Desktop Chrome 92中的SharedArray Buffer更新中了解更多信息。
【Web技术】为什么您需要“跨源隔离”才能获得强大的功能
了解为什么需要跨源隔离才能使用强大的功能,如SharedArray Buffer、performance.measureUserAgentSpecificMemory()和精度更高的高分辨率计时器。
介绍
在使用COOP和COEP使您的网站“跨源隔离”的过程中,我们解释了如何使用COOP和COEP采用“跨源隔离”状态。这是一篇配套文章,解释了为什么需要跨源隔离才能在浏览器上启用强大的功能。
关键词:这篇文章使用了许多听起来相似的术语。为了使事情更清楚,让我们定义它们:
【Web技术】"Same-site" 和 "same-origin"
“同一网站”【"Same-site" 】和“同源”【"same-origin"】是经常被引用但经常被误解的术语。例如,它们用于页面转换、fetch()请求、cookie、打开弹出窗口、嵌入资源和iframe的上下文。本页解释了它们是什么以及它们之间的区别。
【Web技术】SameSite Cookie配方
- 警告:浏览器正在限制第三方cookie的使用。如果您过去在cookie上设置过SameSite=None,则必须采取其他操作。了解如何准备第三方cookie限制。
注意:此页面是SameSite cookie属性更改系列的一部分,其中包括:
- 了解Cookie
- SameSite cookie解释
- 有计划的相同站点
Chrome、Firefox、Edge和其他公司正在根据IETF的提案“Incrementally Better Cookies”更改其默认行为,以便:
- 没有SameSite属性的Cookie被视为SameSite=Lax,这意味着默认行为是将Cookie仅限于第一方上下文。
- 跨站点使用的Cookie必须指定SameSite=None;确保能够包含在第三方环境中。
如果您还没有这样做,您应该更新第三方cookie的属性,这样它们将来就不会被阻止。
浏览器支持
【web技术】了解Cookie
cookie是存储在浏览器中的一组数据,用于保存网站执行其功能所需的状态和其他信息。
注意:本文是SameSite cookie属性更改系列文章的一部分,其中包括:
- SameSite cookie解释
- SameSite饼干配方
- 有计划的相同站点
cookie是网站存储在用户机器上的一个小文件,它存储的信息在浏览器和网站之间来回传播。
每个cookie都是一个键值对,以及控制该cookie何时何地使用的许多属性。这些属性用于设置过期日期或指示cookie只能通过HTTPS发送等内容。您可以在HTTP头中或通过JavaScript接口设置cookie。
Cookie是可用于向网站添加持久状态的方法之一。多年来,他们的能力不断发展,但给平台留下了一些遗留问题。为了解决这一问题,浏览器(包括Chrome、Firefox和Edge)正在改变其行为,以强制执行更多的隐私保护默认值。
注:了解更多关于Chrome保护人们在线隐私的努力,并为公司和开发者提供工具来建立繁荣的数字业务。
【web技术】有Schema的相同站点
“同一站点”的定义正在演变为包括URL方案,因此站点的HTTP和HTTPS版本之间的链接现在被视为跨站点请求。默认情况下升级到HTTPS以尽可能避免出现问题,或者继续阅读以了解需要哪些SameSite属性值的详细信息。
注意:本文是SameSite cookie属性更改系列文章的一部分,其中包括:
- 了解Cookie
- SameSite cookie解释
- SameSite饼干配方
Schemeful Same Site(Schemeful Same-Site)将(网站)的定义从仅可注册域修改为scheme+可注册域。您可以在理解“相同站点”和“相同来源”中找到更多详细信息和示例。
【Web安全】第三方
什么是第三方?
一个网站是完全独立的,这是相当罕见的。HTTP网络年鉴显示,大多数网站(约95%)都包含一些第三方内容。
Almanac 将第三方内容定义为托管在共享和公共来源上的内容,该内容被各种网站广泛使用,不受单个网站所有者的影响。这些可能是图像或其他媒体,如视频、字体或脚本。图像和脚本所占的比其他所有内容加在一起还要多。第三方内容对开发网站来说并不重要,但也可以;几乎可以肯定的是,您将使用从公共共享服务器加载的东西,无论是网络字体、视频的嵌入式iframe、广告还是JavaScript库。例如,您可能正在使用Google fonts提供的网络字体,或者使用Google analytics测量分析;您可能添加了来自社交网络的“点赞”按钮或“登录方式”按钮;您可能正在嵌入地图或视频,或通过第三方服务处理购物;您可能正在通过第三方监控工具为自己的开发团队跟踪错误并进行日志记录。
- 阅读更多 关于 【Web安全】第三方
- 登录 发表评论
【Web技术】谷歌逐步淘汰第三方cookie:影响和解决方案
虽然谷歌可能还没有完成在Chrome中逐步淘汰第三方cookie的计划,但结局仍将发生。其他浏览器几年前就已经做出了这一改变。我们研究第三方cookie在营销中的用途,为什么会出现问题,什么将取代它们,等等。
谷歌再次推迟了在Chrome中逐步淘汰第三方cookie的计划,将预期的开始时间从2024年底推迟到2025年初。这一决定受到英国竞争与市场管理局(CMA)等监管机构的持续监测和反馈的影响,使企业有更多的时间适应用户隐私是在线互动关键方面的未来。
对于营销人员和企业来说,这一延长的时间线是一个重新思考和完善其数字战略的机会,而不会感到恐慌。数字广告正在发展,要求在保持有效性的同时尊重用户隐私的新策略和解决方案。
本指南深入探讨了谷歌分阶段取消第三方cookie的影响,探讨了这对谷歌广告和更广泛的Chrome生态系统等工具意味着什么。
我们正在深入研究谷歌第三方cookie对数字广告的意义,谷歌逐步淘汰它们的时间表,以及这对谷歌广告和Chrome网络浏览器等平台的意义。
【前端技术】同源政策
同源策略是一种浏览器安全功能,它限制一个源上的文档和脚本如何与另一源上的资源交互。
浏览器可以同时加载和显示来自多个站点的资源。您可能同时打开多个选项卡,或者一个网站可以嵌入来自不同网站的多个iframe。如果这些资源之间的交互没有限制,并且脚本被攻击者破坏,则脚本可能会暴露用户浏览器中的所有内容。
同源策略通过阻止对从不同源加载的资源的读取访问来防止这种情况发生。“但是等一下,”你说,“我一直从其他来源加载图像和脚本。”浏览器允许一些标签嵌入来自不同来源的资源。此策略主要是一个历史工件,可能会使您的网站暴露于使用iframe的点击劫持等漏洞。您可以使用内容安全策略限制这些标记的跨来源读取。
什么被认为是同源的?
origin 由schema(也称为协议,例如HTTP或HTTPS)、端口(如果已指定)和主机定义。当这三个URL对于两个URL都相同时,它们被认为是同源的。例如http://www.example.com/foo与同源http://www.example.com/bar但不是https://www.example.com/bar因为schema不同。
- 阅读更多 关于 【前端技术】同源政策
- 登录 发表评论