קבוצות של אתרים קשורים (RWS) הן מנגנון של פלטפורמת אינטרנט שעוזר לדפדפנים להבין את הקשרים בין אוסף של דומיינים. כך הדפדפנים יכולים לקבל החלטות חשובות כדי להפעיל פונקציות מסוימות באתר (למשל, אם לאפשר גישה לקובצי Cookie שפועלים באתרים שונים) ולהציג את המידע הזה למשתמשים.
אתרים רבים מסתמכים על כמה דומיינים כדי לספק חוויית משתמש אחת. ארגונים עשויים לרצות לשמור על דומיינים שונים ברמה העליונה למקרים שונים, כמו דומיינים ספציפיים למדינה או דומיינים של שירותים לאירוח תמונות או סרטונים. קבוצות של אתרים קשורים מאפשרות לאתרים לשתף נתונים בין דומיינים, עם אמצעי בקרה ספציפיים.
מהי קבוצת אתרים קשורים?
באופן כללי, קבוצת אתרים קשורים היא אוסף של דומיינים, שיש להם 'אתר ראשי' אחד ועשויים להיות להם כמה 'אתרים משויכים'.
בדוגמה הבאה, הפקודה primary מציגה את הדומיין הראשי, והפקודה associatedSites מציגה את הדומיינים שעומדים בדרישות של קבוצת המשנה המשויכת.
{
"primary": "https://primary.com",
"associatedSites": ["https://associate1.com", "https://associate2.com", "https://associate3.com"]
}
רשימת קבוצות האתרים הקשורים מופיעה בקובץ JSON ציבורי שמתארח ב-GitHub. זהו המקור הקנוני לכל הקבוצות שאושרו. הדפדפנים משתמשים בקובץ הזה כדי לקבוע אם אתרים שייכים לאותה קבוצת אתרים קשורים.
רק משתמשים עם הרשאת אדמין בדומיין יכולים ליצור קבוצה עם הדומיין הזה. השולחים נדרשים להצהיר על הקשר בין כל 'חבר בקבוצה' לבין 'הפריט הראשי בקבוצה'. קבוצות של חברים יכולות לכלול מגוון סוגים שונים של דומיינים, והן צריכות להיות חלק מקבוצת משנה שמבוססת על תרחיש שימוש.
אם האפליקציה שלכם מסתמכת על גישה לקובצי Cookie חוצי-אתרים (שנקראים גם קובצי Cookie של צד שלישי) באתרים ששייכים לאותה קבוצה של אתרים קשורים, אתם יכולים להשתמש ב-Storage Access API (SAA) וב-requestStorageAccessFor API כדי לבקש גישה לקובצי ה-Cookie האלה. בהתאם לקבוצת המשנה שכל אתר שייך אליה, הדפדפן עשוי לטפל בבקשה בצורה שונה.
הנחיות לשליחת ערכות הקבוצות שנשלחות עוברות בדיקות טכניות שונות כדי לאמת את השליחות.
תרחישי שימוש בקבוצות של אתרים קשורים
קבוצות אתרים קשורים מתאימות למקרים שבהם ארגון צריך סוג של זהות משותפת באתרים שונים ברמה העליונה.
הנה כמה תרחישי שימוש בקבוצות של אתרים קשורים:
- התאמה אישית לפי מדינה. שימוש באתרים שהותאמו לשוק המקומי תוך הסתמכות על תשתית משותפת (למשל, יכול להיות שהאתר example.co.uk מסתמך על שירות שמתארח באתר example.ca).
- שילוב של דומיין שירות. שימוש בדומיינים של שירותים שהמשתמשים אף פעם לא מקיימים איתם אינטראקציה ישירה, אבל הם מספקים שירותים באתרים של אותו ארגון (example-cdn.com).
- הפרדה של תוכן שנוצר על ידי משתמשים. גישה לנתונים בדומיינים שונים שמפרידים בין תוכן שהמשתמשים העלו לבין תוכן אחר באתר מטעמי אבטחה, תוך מתן גישה לדומיין בסביבת ארגז חול לקובצי Cookie לאימות (ולקובצי Cookie אחרים). אם אתם מציגים תוכן לא פעיל שהועלה על ידי משתמשים, יכול להיות שתוכלו לארח אותו בבטחה באותו דומיין באמצעות שיטות מומלצות.
- תוכן מוטמע שעבר אימות. תמיכה בתוכן מוטמע מנכסים קשורים (סרטונים, מסמכים או מקורות מידע שמוגבלים למשתמש שמחובר לאתר ברמה העליונה).
- נכנסים לחשבון. תמיכה בכניסה לחשבון בכל הנכסים המסונפים. יכול להיות שFedCM API יתאים גם לכמה תרחישי שימוש.
- Analytics. פריסת ניתוח ומדידה של מסלולי משתמשים בנכסים משויכים כדי לשפר את איכות השירותים.
פרטי השילוב של קבוצות של אתרים קשורים
Storage Access API
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
Storage Access API (SAA) מספק דרך לתוכן מוטמע ממקורות שונים לגשת לאחסון שבדרך כלל יש לו גישה רק בהקשר של צד ראשון.
משאבים מוטמעים יכולים להשתמש בשיטות SAA כדי לבדוק אם יש להם כרגע גישה לאחסון, ולבקש גישה מסוכן המשתמש.
כשקובצי Cookie של צד שלישי חסומים אבל קבוצות של אתרים קשורים (RWS) מופעלות, Chrome מעניק הרשאה באופן אוטומטי בהקשרים של RWS, ומציג בקשה למשתמש בכל הקשר אחר. (המונח 'הקשר בתוך RWS' מתייחס להקשר, כמו iframe, שבו האתר המוטמע והאתר ברמה העליונה נמצאים באותו RWS).
בדיקה של הגישה לאחסון ושליחת בקשה לגישה
כדי לבדוק אם יש להם כרגע גישה לאחסון, אתרים מוטמעים יכולים להשתמש בשיטה Document.hasStorageAccess().
השיטה מחזירה הבטחה שמושלמת עם ערך בוליאני שמציין אם למסמך כבר יש גישה לקובצי ה-Cookie שלו או לא. ההבטחה מחזירה גם true אם ה-iframe הוא מאותו מקור כמו המסגרת העליונה.
כדי לבקש גישה לקובצי Cookie בהקשר של אתרים שונים, אתרים מוטמעים יכולים להשתמש ב-Document.requestStorageAccess() (rSA).
ה-API requestStorageAccess() מיועד לקריאה מתוך iframe.
ה-iframe הזה צריך לקבל אינטראקציה מהמשתמש (תנועת משתמש, שנדרשת בכל הדפדפנים), אבל בנוסף, ב-Chrome נדרש שבשלב כלשהו ב-30 הימים האחרונים, המשתמש ביקר באתר שבבעלותו ה-iframe וביצע אינטראקציה עם האתר הזה באופן ספציפי – כמסמך ברמה העליונה, ולא ב-iframe.
הפונקציה requestStorageAccess() מחזירה הבטחה שמתקיימת אם הגישה לאחסון אושרה. אם הגישה נדחתה מסיבה כלשהי, ההבטחה נדחית עם ציון הסיבה.
requestStorageAccessFor ב-Chrome
Storage Access API מאפשר לאתרים מוטמעים לבקש גישה לאחסון רק מתוך רכיבי <iframe> שהמשתמש יצר איתם אינטראקציה.
הדבר יוצר בעיות בהטמעה של Storage Access API באתרים ברמה העליונה שמשתמשים בתמונות או בתגי סקריפט חוצי-אתרים שדורשים קובצי Cookie.
כדי לפתור את הבעיה הזו, ב-Chrome הוטמעה דרך לאתרים ברמה העליונה לבקש גישה לאחסון בשם מקורות ספציפיים באמצעות Document.requestStorageAccessFor() (rSAFor).
document.requestStorageAccessFor('https://target.site')
ה-API requestStorageAccessFor() מיועד להפעלה על ידי מסמך ברמה העליונה. בנוסף, המסמך הזה צריך להיות כזה שרק עכשיו התרחשה בו אינטראקציה של משתמש. אבל בניגוד ל-requestStorageAccess(), דפדפן Chrome לא בודק אם הייתה אינטראקציה במסמך ברמה העליונה ב-30 הימים האחרונים, כי המשתמש כבר נמצא בדף.
בדיקת הרשאות הגישה לאחסון
הגישה לחלק מהתכונות של הדפדפן, כמו מצלמה או מיקום גיאוגרפי, מבוססת על הרשאות שהמשתמשים נתנו. Permissions API מאפשר לבדוק את סטטוס ההרשאה לגישה ל-API – האם ההרשאה ניתנה, נדחתה או שנדרשת אינטראקציה כלשהי מצד המשתמש, כמו לחיצה על הנחיה או אינטראקציה עם הדף.
אפשר לשלוח שאילתות לגבי סטטוס ההרשאות באמצעות navigator.permissions.query().
כדי לבדוק את הרשאת הגישה לאחסון בהקשר הנוכחי, צריך להעביר את המחרוזת 'storage-access':
navigator.permissions.query({name: 'storage-access'})
כדי לבדוק את הרשאת הגישה לאחסון של מקור מסוים, צריך להעביר את המחרוזת 'top-level-storage-access':
navigator.permissions.query({name: 'top-level-storage-access', requestedOrigin: 'https://target.site'})
הערה: כדי להגן על התקינות של המקור המוטמע, הבדיקה הזו מתבססת רק על הרשאות שניתנו על ידי המסמך ברמה העליונה באמצעות document.requestStorageAccessFor.
הפונקציה תחזיר prompt או granted, בהתאם לשאלה אם אפשר להעניק את ההרשאה באופן אוטומטי או שנדרשת פעולת משתמש.
מודל לכל פריים
הענקת הרשאות rSA מתבצעת לכל מסגרת. הענקת הרשאות rSA והענקת הרשאות rSAFor נחשבות להרשאות נפרדות.
כל פריים חדש יצטרך לבקש גישה לאחסון בנפרד, והגישה תוענק לו באופן אוטומטי. רק הבקשה הראשונה מחייבת תנועת משתמש. כל בקשה עוקבת שמופעלת על ידי ה-iframe, כמו ניווט או משאבי משנה, לא תצטרך להמתין לתנועת משתמש, כי היא תאושר לסשן הגלישה על ידי הבקשה הראשונית.
אם מרעננים, טוענים מחדש או יוצרים מחדש את ה-iframe, צריך לבקש גישה שוב.
דרישות לגבי קובצי Cookie
בקובצי Cookie צריך לציין גם את המאפיין SameSite=None וגם את המאפיין Secure, כי rSA מספק גישה רק לקובצי Cookie שכבר סומנו לשימוש בהקשרים של אתרים שונים.
קובצי Cookie עם SameSite=Lax, SameSite=Strict או ללא מאפיין SameSite
מיועדים לשימוש בדומיין בלבד, ולעולם לא ישותפו בהקשר שבין כמה אתרים, ללא קשר ל-rSA.
אבטחה
ב-rSAFor, בקשות למשאבי משנה דורשות כותרות שיתוף משאבים בין מקורות (CORS) או את המאפיין crossorigin במשאבים, כדי להבטיח הסכמה מפורשת.
דוגמאות להטמעה
בקשת גישה לאחסון מ-iframe מוטמע חוצה-מקורות
requestStorageAccess() בהטמעה באתר אחר.איך בודקים אם יש לכם גישה לאחסון
כדי לבדוק אם כבר יש לכם גישה לאחסון, משתמשים ב-document.hasStorageAccess().
אם ההבטחה מחזירה את הערך True, אפשר לגשת לאחסון בהקשר של אתרים שונים. אם הערך שמוחזר הוא false, צריך לבקש גישה לאחסון.
document.hasStorageAccess().then((hasAccess) => {
if (hasAccess) {
// You can access storage in this context
} else {
// You have to request storage access
}
});
בקשה לגישה לאחסון
אם אתם צריכים לבקש גישה לאחסון, קודם צריך לבדוק את הרשאת הגישה לאחסון navigator.permissions.query({name: 'storage-access'}) כדי לראות אם היא דורשת תנועת משתמש או שאפשר להעניק אותה באופן אוטומטי.
אם ההרשאה היא granted, אפשר להפעיל את document.requestStorageAccess() והיא אמורה לפעול בלי תנועת משתמש.
אם סטטוס ההרשאה הוא prompt, צריך להפעיל את השיחה document.requestStorageAccess() אחרי פעולת משתמש, כמו לחיצה על לחצן.
דוגמה:
navigator.permissions.query({name: 'storage-access'}).then(res => {
if (res.state === 'granted') {
// Permission has already been granted
// You can request storage access without any user gesture
rSA();
} else if (res.state === 'prompt') {
// Requesting storage access requires user gesture
// For example, clicking a button
const btn = document.createElement("button");
btn.textContent = "Grant access";
btn.addEventListener('click', () => {
// Request storage access
rSA();
});
document.body.appendChild(btn);
}
});
function rSA() {
if ('requestStorageAccess' in document) {
document.requestStorageAccess().then(
(res) => {
// Use storage access
},
(err) => {
// Handle errors
}
);
}
}
בקשות עוקבות מתוך המסגרת, ניווטים או משאבי משנה, יקבלו באופן אוטומטי הרשאה לגישה לקובצי Cookie חוצי-אתרים.
hasStorageAccess() מחזירה את הערך True, וקובצי Cookie חוצי-אתרים מאותו Related
Website Set יישלחו בבקשות האלה ללא קריאות נוספות של JavaScript.
אתרים ברמה העליונה ששולחים בקשות לגישה לקובצי Cookie בשם אתרים חוצי-מקורות
requestStorageAccessFor() באתר ברמה העליונה למקור אחראתרים ברמה העליונה יכולים להשתמש ב-requestStorageAccessFor() כדי לבקש גישה לאחסון בשם מקורות ספציפיים.
hasStorageAccess() בודקת רק אם לאתר שקורא לה יש גישה לאחסון,
כך שאפשר לבדוק את ההרשאות של מקור אחר מאתר ברמה העליונה.
כדי לגלות אם תוצג למשתמש בקשה או אם כבר ניתנה גישה לאחסון למקור שצוין, צריך להתקשר אל navigator.permissions.query({name:
'top-level-storage-access', requestedOrigin: 'https://target.site'}).
אם ההרשאה היא granted, אפשר להתקשר אל
document.requestStorageAccessFor('https://target.site'). הפעולה צריכה להצליח ללא תנועת משתמש.
אם ההרשאה היא prompt, צריך להוסיף את הקריאה document.requestStorageAccessFor('https://target.site') מאחורי תנועת המשתמש, כמו לחיצה על לחצן.
דוגמה:
navigator.permissions.query({name:'top-level-storage-access',requestedOrigin: 'https://target.site'}).then(res => {
if (res.state === 'granted') {
// Permission has already been granted
// You can request storage access without any user gesture
rSAFor();
} else if (res.state === 'prompt') {
// Requesting storage access requires user gesture
// For example, clicking a button
const btn = document.createElement("button");
btn.textContent = "Grant access";
btn.addEventListener('click', () => {
// Request storage access
rSAFor();
});
document.body.appendChild(btn);
}
});
function rSAFor() {
if ('requestStorageAccessFor' in document) {
document.requestStorageAccessFor().then(
(res) => {
// Use storage access
},
(err) => {
// Handle errors
}
);
}
}
אחרי קריאה מוצלחת של requestStorageAccessFor(), בקשות חוצות-אתרים יכללו קובצי Cookie אם הן כוללות CORS או את המאפיין crossorigin, ולכן יכול להיות שבעלי אתרים ירצו להמתין לפני הפעלת בקשה.
הבקשות צריכות להשתמש באפשרות credentials: 'include' והמשאבים צריכים לכלול את המאפיין crossorigin="use-credentials".
function checkCookie() {
fetch('https://related-website-sets.glitch.me/getcookies.json', {
method: 'GET',
credentials: 'include'
})
.then((response) => response.json())
.then((json) => {
// Do something
});
}
איך בודקים באופן מקומי
דרישות מוקדמות
כדי לבדוק קבוצות של אתרים קשורים באופן מקומי, צריך להשתמש ב-Chrome מגרסה 119 ואילך שהופעל משורת הפקודה, ולהפעיל את test-third-party-cookie-phaseout הדגל של Chrome.
הפעלת התכונה הניסיונית ב-Chrome
כדי להפעיל את התכונה הניסיונית הדרושה ב-Chrome, עוברים לכתובת chrome://flags#test-third-party-cookie-phaseout מסרגל הכתובות ומשנים את התכונה הניסיונית לEnabled. חשוב להפעיל מחדש את הדפדפן אחרי שינוי הדגלים.
הפעלת Chrome עם קבוצת אתרים קשורים מקומית
כדי להפעיל את Chrome עם קבוצת אתרים קשורים שהוגדרה באופן מקומי, יוצרים אובייקט JSON שמכיל כתובות URL ששייכות לקבוצה ומעבירים אותו אל --use-related-website-set.
מידע נוסף על הפעלת Chromium עם דגלים
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}" \
https://related-website-sets.glitch.me/
דוגמה
כדי להפעיל קבוצות של אתרים קשורים באופן מקומי, צריך להפעיל את test-third-party-cookie-phaseout ב-chrome://flags ולהפעיל את Chrome משורת הפקודה עם הדגל --use-related-website-set עם אובייקט ה-JSON שמכיל את כתובות ה-URL ששייכות לקבוצה.
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}" \
https://related-website-sets.glitch.me/
מוודאים שיש לכם גישה לקובצי Cookie חוצי-אתרים
מתקשרים אל ממשקי ה-API (rSA או rSAFor) מהאתרים שנבדקים ומאמתים את הגישה לקובצי ה-Cookie חוצי האתרים.
תהליך השליחה של קבוצות של אתרים קשורים
כדי להצהיר על הקשר בין הדומיינים ולציין לאיזו קבוצת משנה הם שייכים, פועלים לפי השלבים הבאים.
1. זיהוי ה-RWS
מזהים את הדומיינים הרלוונטיים, כולל הדומיין הראשי והדומיינים המשויכים שיהיו חלק מקבוצת האתרים הקשורים. צריך גם לזהות את סוג קבוצת המשנה שאליה שייך כל חבר בקבוצה.
2. יצירת בקשה ל-RWS
יוצרים עותק מקומי (שיבוט או פיצול) של מאגר GitHub. יוצרים ענף חדש ומבצעים את השינויים בקובץ related_website_sets.JSON כדי לשקף את הסט. כדי לוודא שהקבוצה שלכם בפורמט JSON הנכון ובמבנה הנכון, אתם יכולים להשתמש בכלי ליצירת JSON.
3. מוודאים שה-RWS עומד בדרישות הטכניות
מוודאים שאתם עומדים בדרישות ליצירת קבוצות ודרישות לאימות קבוצות.
4. בדיקה מקומית של RWS
לפני שיוצרים בקשת משיכה (PR) כדי לשלוח את ערכת הנושא, בודקים את השליחה באופן מקומי כדי לוודא שהיא עוברת את כל הבדיקות הנדרשות.
5. שליחת RWS
שולחים את קבוצת האתרים הקשורים על ידי יצירת בקשת משיכה (PR) לקובץ related_website_sets.JSON שבו Chrome מאחסן את הרשימה הקנונית של קבוצות האתרים הקשורים. (כדי ליצור בקשות למשיכת שינויים, צריך חשבון GitHub. בנוסף, לפני שתוכלו לתרום לרשימה, תצטרכו לחתום על הסכם רישיון לתורמים (CLA)).
אחרי שיוצרים את בקשת משיכת השינויים, מתבצעת סדרה של בדיקות כדי לוודא שהדרישות משלב 3 מתקיימות, למשל שחתמתם על הסכם ה-CLA ושהקובץ .well-known תקין.
אם הפעולה תצליח, בבקשת ה-PR יצוין שהבדיקות עברו. בקשות PR שאושרו ימוזגו ידנית בקבוצות לרשימה הקנונית של קבוצות אתרים קשורים פעם בשבוע (בימי שלישי בצהריים לפי שעון החוף המזרחי). אם אחת מהבדיקות נכשלת, השולח מקבל הודעה על כשל בבקשת משיכה ב-GitHub. השולח יכול לתקן את השגיאות ולעדכן את בקשת משיכת השינויים, וחשוב לזכור:
- אם הבדיקה נכשלת, תוצג הודעת שגיאה עם מידע נוסף על הסיבה האפשרית לכישלון השליחה. (דוגמה).
- כל הבדיקות הטכניות שקובעות את סט ההגשות מתבצעות ב-GitHub, ולכן כל כשל בהגשה כתוצאה מבדיקות טכניות יוצג ב-GitHub.
מדיניות Enterprise
ב-Chrome יש שתי מדיניות שנועדו לתת מענה לצרכים של משתמשים ארגוניים:
- מערכות שאולי לא יוכלו להשתלב עם קבוצות של אתרים קשורים יכולות להשבית את התכונה 'קבוצות של אתרים קשורים' בכל המקרים הארגוניים של Chrome באמצעות
RelatedWebsiteSetsEnabledהמדיניות.- במערכות ארגוניות מסוימות יש אתרים לשימוש פנימי בלבד (כמו אינטראנט) עם דומיינים שאפשר לרשום וששונים מהדומיינים בקבוצת האתרים הקשורים. אם הם צריכים להתייחס לאתרים האלה כאל חלק מקבוצת האתרים הקשורים שלהם בלי לחשוף אותם לציבור (כי הדומיינים עשויים להיות סודיים), הם יכולים להוסיף אותם לרשימה הציבורית של קבוצות האתרים הקשורים או לבטל את ההגדרה שלה באמצעות המדיניות
RelatedWebsiteSetsOverrides.
- במערכות ארגוניות מסוימות יש אתרים לשימוש פנימי בלבד (כמו אינטראנט) עם דומיינים שאפשר לרשום וששונים מהדומיינים בקבוצת האתרים הקשורים. אם הם צריכים להתייחס לאתרים האלה כאל חלק מקבוצת האתרים הקשורים שלהם בלי לחשוף אותם לציבור (כי הדומיינים עשויים להיות סודיים), הם יכולים להוסיף אותם לרשימה הציבורית של קבוצות האתרים הקשורים או לבטל את ההגדרה שלה באמצעות המדיניות
Chrome פותר כל חיתוך בין קבוצות ציבוריות וארגוניות באחת משתי דרכים, בהתאם לערכים שצוינו עבור replacements או additions.
לדוגמה, עבור הקבוצה הציבורית {primary: A, associated: [B, C]}:
replacements: |
{primary: C, associated: [D, E]} |
| הקבוצה Enterprise סופגת את האתר המשותף ויוצרת קבוצה חדשה. | |
| הקבוצות שמתקבלות: | {primary: A, associated: [B]}{primary: C, associated: [D, E]} |
additions: |
{primary: C, associated: [D, E]} |
| הסטים Public ו-Enterprise משולבים. | |
| הקבוצה שמתקבלת: | {primary: C, associated: [A, B, D, E]} |
פתרון בעיות שקשורות לקבוצות של אתרים קשורים
"הנחיה של משתמש" ו "פעולה של משתמש"
'הנחיה למשתמש' ו'תנועת משתמש' הן שתי הגדרות שונות. דפדפן Chrome לא יציג למשתמשים בקשת הרשאה לאתרים שנכללים באותו קבוצת אתרים קשורים, אבל עדיין נדרש שהמשתמש יבצע אינטראקציה עם הדף. לפני שמעניקים הרשאה, דפדפן Chrome דורש פעולת משתמש, שנקראת גם 'אינטראקציה עם המשתמש' או 'הפעלה על ידי המשתמש'. הסיבה לכך היא שגם השימוש ב-Storage Access API מחוץ להקשר של קבוצת אתרים קשורים (כלומר requestStorageAccess()) מחייב פעולת משתמש, בגלל עקרונות העיצוב של פלטפורמת האינטרנט.
גישה לקובצי Cookie או לאחסון של אתרים אחרים
התכונה 'קבוצות של אתרים קשורים' לא ממזגת את האחסון של אתרים שונים: היא רק מאפשרת לבצע requestStorageAccess() קריאות בקלות רבה יותר (ללא בקשות). קבוצות של אתרים קשורים רק מפחיתות את החיכוך עם המשתמשים שנובע משימוש ב-Storage Access API, אבל לא קובעות מה צריך לעשות אחרי שהגישה משוחזרת. אם A ו-B הם אתרים שונים באותה קבוצה של אתרים קשורים, ו-A מטמיע את B, B יכול לקרוא ל-requestStorageAccess() ולקבל גישה לאחסון מאינטראקציה ישירה בלי להציג למשתמש בקשה. התכונה 'קבוצות של אתרים קשורים' לא מבצעת תקשורת בין אתרים. לדוגמה, הגדרה של קבוצת אתרים קשורים לא תגרום לכך שקובצי ה-Cookie ששייכים לאתר ב' יתחילו להישלח לאתר א'. אם רוצים לשתף את הנתונים האלה, צריך לשתף אותם בעצמכם, למשל על ידי שליחת window.postMessage מ-iframe B ל-frame A.
גישה לקובצי Cookie לא מחולקים כברירת מחדל
קבוצות של אתרים קשורים לא מאפשרות גישה מרומזת לקובצי Cookie שלא מחולקים למחיצות בלי להפעיל API כלשהו. קובצי Cookie בין-אתרים לא זמינים כברירת מחדל בקבוצה. קבוצות של אתרים קשורים רק מאפשרות לאתרים בקבוצה לדלג על ההנחיה למתן הרשאה ל-Storage Access API.
אם רוצים לגשת לקובצי ה-Cookie של iframe, צריך להפעיל את הפונקציה document.requestStorageAccess(), או שהדף ברמה העליונה יכול להפעיל את הפונקציה document.requestStorageAccess().document.requestStorageAccessFor()
שיתוף משוב
שליחת קבוצה ב-GitHub ועבודה עם Storage Access API ועם requestStorageAccessFor API הן הזדמנויות לשתף את החוויה שלכם עם התהליך ועם בעיות שנתקלתם בהן.
כדי להצטרף לדיונים בנושא קבוצות של אתרים קשורים:
- הצטרפות לרשימת התפוצה הציבורית בנושא קבוצות של אתרים קשורים (RWS).
- אפשר להעלות בעיות ולעקוב אחרי הדיון ב-Related Website Sets GitHub repo.