Os conjuntos de sites relacionados (RWS, na sigla em inglês) são um mecanismo de plataforma da Web para ajudar os navegadores a entender as relações entre uma coleção de domínios. Isso permite que os navegadores tomem decisões importantes para ativar determinadas funções do site, como permitir o acesso a cookies entre sites, e apresentar essas informações aos usuários.
Muitos sites dependem de vários domínios para oferecer uma única experiência do usuário. As organizações podem querer manter diferentes domínios de nível superior para vários casos de uso, como domínios específicos de países ou domínios de serviço para hospedagem de imagens ou vídeos. Os conjuntos de sites relacionados permitem que os sites compartilhem dados entre domínios, com controles específicos.
O que é um conjunto de sites relacionados?
De forma geral, um conjunto de sites relacionados é uma coleção de domínios, para os quais há um único "conjunto principal" e potencialmente vários "membros do conjunto".
No exemplo abaixo, primary lista o domínio principal, e
associatedSites lista os domínios que atendem aos requisitos do subconjunto
associado.
{
"primary": "https://primary.com",
"associatedSites": ["https://associate1.com", "https://associate2.com", "https://associate3.com"]
}
Os conjuntos de sites relacionados são listados em um arquivo JSON público hospedado no GitHub. Essa é a fonte canônica de todos os conjuntos aprovados. Os navegadores usam esse arquivo para determinar se os sites pertencem ou não ao mesmo conjunto de sites relacionados.
Somente pessoas com controle administrativo sobre um domínio podem criar um conjunto com esse domínio. Os remetentes precisam declarar a relação entre cada "membro do conjunto" e o "principal do conjunto". Os membros do conjunto podem incluir uma variedade de tipos de domínio diferentes e precisam fazer parte de um subconjunto com base em um caso de uso.
Se o aplicativo depender do acesso a cookies entre sites (também chamados de cookies de terceiros) em sites do mesmo conjunto de sites relacionados, você poderá usar a API Storage Access (SAA) e a API requestStorageAccessFor para solicitar acesso a esses cookies. Dependendo do subconjunto do qual cada site faz parte, o navegador pode processar a solicitação de maneira diferente.
Para saber mais sobre o processo e os requisitos para enviar conjuntos, consulte as diretrizes de envio. Os conjuntos enviados passam por várias verificações técnicas para validar os envios.
Casos de uso dos conjuntos de sites relacionados
Os conjuntos de sites relacionados são uma boa opção para casos em que uma organização precisa de uma forma de identidade compartilhada em diferentes sites de nível superior.
Alguns dos casos de uso para conjuntos de sites relacionados são:
- Personalização por país. Usar sites localizados com base em infraestrutura compartilhada (example.co.uk pode depender de um serviço hospedado por example.ca).
- Integração de domínio de serviço. Usar domínios de serviço com que os usuários não interagem diretamente, mas que fornecem serviços nos sites da mesma organização (example-cdn.com).
- Separação do conteúdo do usuário. Acesso a dados em diferentes domínios que
separam o conteúdo enviado pelo usuário de outros conteúdos do site por motivos de segurança,
permitindo que o domínio em sandbox acesse cookies de autenticação (e outros)
Se você estiver veiculando conteúdo enviado por usuários inativo, também poderá
hospedá-lo com segurança no mesmo domínio seguindo as práticas
recomendadas.
- Conteúdo autenticado incorporado. Suporte a conteúdo incorporado de propriedades afiliadas (vídeos, documentos ou recursos restritos ao usuário conectado no site de nível superior).
- Fazer login. Suporte ao login em propriedades afiliadas. A API FedCM também pode ser adequada para alguns casos de uso.
- Google Analytics. Implantar análises e medições das jornadas do usuário em propriedades afiliadas para melhorar a qualidade dos serviços.
Detalhes da integração dos conjuntos de sites relacionados
API Storage Access
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
A API Storage Access (SAA) oferece uma maneira de conteúdos incorporados de várias origens acessarem o armazenamento a que normalmente só teriam acesso em um contexto próprio.
Os recursos incorporados podem usar métodos SAA para verificar se eles têm acesso ao armazenamento e solicitar acesso ao agente do usuário.
Quando os cookies de terceiros são bloqueados, mas os conjuntos de sites relacionados (RWS, na sigla em inglês) estão ativados, o Chrome concede a permissão automaticamente em contextos intra-RWS e mostra uma solicitação ao usuário. Um "contexto intra-RWS" é um contexto, como um iFrame, em que o site incorporado e o site de nível superior estão no mesmo RWS.
Verificar e solicitar acesso ao armazenamento
Para verificar se eles têm acesso ao armazenamento, os sites incorporados podem usar o
método
Document.hasStorageAccess().
O método retorna uma promessa que é resolvida com um valor booleano indicando se o documento já tem acesso aos cookies ou não. A promessa também retorna "true" se o iframe tiver a mesma origem do frame principal.
Para solicitar acesso a cookies em um contexto entre sites, os sites incorporados podem usar
Document.requestStorageAccess()
(rSA).
A API requestStorageAccess() precisa ser chamada em um iframe.
Esse iframe precisa ter recebido interação do usuário (um gesto
do usuário,
que é necessário para todos os navegadores), mas o Chrome também exige que, em
algum momento nos últimos 30 dias, o usuário tenha visitado o site proprietário desse
iframe e interagido com ele especificamente, como um documento de nível superior,
não em um iframe.
requestStorageAccess() retorna uma promessa que é resolvida se o acesso ao
armazenamento foi concedido. A promessa é rejeitada, citando o motivo, se o acesso foi
negado por qualquer motivo.
requestStorageAccessFor no Chrome
A API Storage Access só permite que sites incorporados solicitem acesso ao armazenamento
em elementos <iframe> que receberam interação do usuário.
Isso dificulta a adoção da API Storage Access para sites de nível superior que usam imagens entre sites ou tags de script que exigem cookies.
Para resolver esse problema, o Chrome implementou uma maneira de sites de nível superior solicitarem
acesso de armazenamento em nome de origens específicas com
Document.requestStorageAccessFor()
(rSAFor).
document.requestStorageAccessFor('https://target.site')
A API requestStorageAccessFor() precisa ser chamada por um documento
de nível superior. Esse documento também precisa ter recebido interação do usuário. No entanto,
diferente do requestStorageAccess(), o Chrome não verifica uma interação em um
documento de nível superior nos últimos 30 dias porque o usuário já está na
página.
Verificar as permissões de acesso ao armazenamento
O acesso a alguns recursos do navegador, como câmera ou geolocalização, é baseado em permissões concedidas pelo usuário. A API Permissions oferece uma maneira de verificar o status de permissão para acessar uma API, seja concedida, negada ou que exija alguma forma de interação do usuário, como clicar em um comando ou interagir com a página.
É possível consultar o status da permissão usando navigator.permissions.query().
Para verificar a permissão de acesso ao armazenamento para o contexto atual, você precisa transmitir
a string 'storage-access':
navigator.permissions.query({name: 'storage-access'})
Para verificar a permissão de acesso ao armazenamento de uma origem especificada, é necessário transmitir
a string 'top-level-storage-access':
navigator.permissions.query({name: 'top-level-storage-access', requestedOrigin: 'https://target.site'})
Para proteger a integridade da origem incorporada, são verificadas apenas
as permissões concedidas pelo documento de nível superior usando
document.requestStorageAccessFor.
Dependendo se a permissão pode ser concedida automaticamente ou se ela exige
um gesto do usuário, ela retornará prompt ou granted.
Modelo por frame
Os grants de rSA são aplicados por frame. Os grants de rSA e rSAFor são tratados como permissões separadas.
Cada frame novo precisa solicitar o acesso de armazenamento individualmente, e o acesso será automaticamente concedido. Apenas a primeira solicitação requer um gesto do usuário. Todas as solicitações subsequentes iniciadas pelo iframe, como navegação ou subrecursos, não precisam esperar por um gesto do usuário, porque isso será concedido para a sessão de navegação pela solicitação inicial.
A atualização, a recarga ou a recriação do iframe vai exigir uma nova solicitação de acesso.
Requisitos de cookies
Os cookies precisam especificar os atributos SameSite=None e Secure, já que o rSA
só oferece acesso a cookies que já estão marcados para uso em contextos
entre sites.
Cookies com SameSite=Lax, SameSite=Strict ou sem um atributo SameSite
são usados apenas pela própria empresa e nunca são compartilhados em um
contexto entre sites, independentemente do rSA.
Segurança
Para rSAFor, as solicitações de subrecurso exigem cabeçalhos de compartilhamento de recursos entre origens (CORS) ou o atributo crossorigin nos recursos, garantindo a ativação explícita.
Exemplos de implementação
Solicitar acesso ao armazenamento de um iframe entre origens incorporado
requestStorageAccess() em uma incorporação em outro site.Verificar se você tem acesso de armazenamento
Para verificar se você já tem acesso ao armazenamento, use document.hasStorageAccess().
Se a promessa for resolvida como verdadeira, você poderá acessar o armazenamento no contexto entre sites. Se o resultado for falso, você vai precisar solicitar acesso ao armazenamento.
document.hasStorageAccess().then((hasAccess) => {
if (hasAccess) {
// You can access storage in this context
} else {
// You have to request storage access
}
});
Solicitar acesso ao armazenamento
Se você precisar solicitar o acesso ao armazenamento, primeiro verifique a permissão
navigator.permissions.query({name: 'storage-access'}) para saber se ela exige
uma ação do usuário ou se pode ser concedida automaticamente.
Se a permissão for granted, você poderá chamar document.requestStorageAccess()
e ela será bem-sucedida sem um gesto do usuário.
Se o status da permissão for prompt, você precisará iniciar a
chamada document.requestStorageAccess() após um gesto do usuário, como um clique
no botão.
Exemplo:
navigator.permissions.query({name: 'storage-access'}).then(res => {
if (res.state === 'granted') {
// Permission has already been granted
// You can request storage access without any user gesture
rSA();
} else if (res.state === 'prompt') {
// Requesting storage access requires user gesture
// For example, clicking a button
const btn = document.createElement("button");
btn.textContent = "Grant access";
btn.addEventListener('click', () => {
// Request storage access
rSA();
});
document.body.appendChild(btn);
}
});
function rSA() {
if ('requestStorageAccess' in document) {
document.requestStorageAccess().then(
(res) => {
// Use storage access
},
(err) => {
// Handle errors
}
);
}
}
As solicitações subsequentes dentro do frame, navegações ou subrecursos terão
permissão automática para acessar cookies entre sites.
hasStorageAccess() retorna verdadeiro, e os cookies entre sites do mesmo conjunto de sites relacionados são enviados nessas solicitações sem outras chamadas
de JavaScript.
Sites de nível superior que solicitam acesso a cookies em nome de sites de origem cruzada
requestStorageAccessFor() em um site de nível superior para uma origem diferenteOs sites de nível superior podem usar requestStorageAccessFor() para solicitar acesso ao armazenamento em
nome de origens específicas.
O hasStorageAccess() verifica apenas se o site que o chama tem acesso ao armazenamento.
Assim, um site de nível superior pode verificar as permissões de outra origem.
Para descobrir se o usuário vai receber uma solicitação ou se o acesso de armazenamento já foi
concedido à origem especificada, chame navigator.permissions.query({name:
'top-level-storage-access', requestedOrigin: 'https://target.site'}).
Se a permissão for granted, chame
document.requestStorageAccessFor('https://target.site'). Ele precisa ser bem-sucedido
sem um gesto do usuário.
Se a permissão for prompt, será necessário vincular a
chamada document.requestStorageAccessFor('https://target.site') ao gesto
do usuário, como um clique no botão.
Exemplo:
navigator.permissions.query({name:'top-level-storage-access',requestedOrigin: 'https://target.site'}).then(res => {
if (res.state === 'granted') {
// Permission has already been granted
// You can request storage access without any user gesture
rSAFor();
} else if (res.state === 'prompt') {
// Requesting storage access requires user gesture
// For example, clicking a button
const btn = document.createElement("button");
btn.textContent = "Grant access";
btn.addEventListener('click', () => {
// Request storage access
rSAFor();
});
document.body.appendChild(btn);
}
});
function rSAFor() {
if ('requestStorageAccessFor' in document) {
document.requestStorageAccessFor().then(
(res) => {
// Use storage access
},
(err) => {
// Handle errors
}
);
}
}
Após uma chamada requestStorageAccessFor() bem-sucedida, as solicitações entre sites vão
incluir cookies se elas incluírem CORS ou o atributo crossorigin. Portanto, os sites podem
esperar antes de acionar uma solicitação.
As solicitações precisam usar a opção credentials: 'include', e os recursos precisam
incluir o atributo crossorigin="use-credentials".
function checkCookie() {
fetch('https://related-website-sets.glitch.me/getcookies.json', {
method: 'GET',
credentials: 'include'
})
.then((response) => response.json())
.then((json) => {
// Do something
});
}
Como testar localmente
Pré-requisitos
Para testar conjuntos de sites relacionados localmente, use o Chrome 119 ou mais recente iniciado na
linha de comando e ative a flag
do Chrome test-third-party-cookie-phaseout.
Ativar a flag do Chrome
Para ativar a flag necessária do Chrome, acesse
chrome://flags#test-third-party-cookie-phaseout na barra de endereço e
mude a flag para Enabled. Reinicie o navegador depois que as flags
forem alteradas.
Iniciar o Chrome com um conjunto de sites relacionados locais
Para iniciar o Chrome com o conjunto de sites relacionados declarado localmente, crie um objeto JSON
que contenha URLs que sejam membros de um conjunto e transmita-o para
--use-related-website-set.
Saiba mais sobre como executar o Chromium com flags.
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}" \
https://related-website-sets.glitch.me/
Exemplo
Para ativar os conjuntos de sites relacionados localmente, é necessário ativar o
test-third-party-cookie-phaseout em chrome://flags e iniciar o Chrome na
linha de comando com a flag --use-related-website-set e o objeto JSON
que contém os URLs que são membros de um conjunto.
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}" \
https://related-website-sets.glitch.me/
Verifique se você tem acesso a cookies entre sites
Chame as APIs (rSA ou rSAFor) dos sites que estão sendo testados e valide o acesso aos cookies entre sites.
Processo de envio de conjuntos de sites relacionados
Siga as etapas abaixo para declarar a relação entre os domínios e especificar de qual subconjunto eles fazem parte.
1. Identificar o RWS
Identifique os domínios relevantes, incluindo o principal do conjunto e os membros do conjunto que vão fazer parte do conjunto de sites relacionados. Identifique também a qual tipo de subconjunto cada membro do conjunto pertence.
2. Criar seu envio de RWS
Crie uma cópia local (clone ou bifurcação) do repositório do GitHub. Em uma nova ramificação, faça as mudanças no arquivo related_website_sets.JSON para refletir seu conjunto. Para garantir que o conjunto tenha a formatação e a estrutura JSON corretas, use a ferramenta Gerador de JSON.
3. Verifique se o RWS atende aos requisitos técnicos
Verifique se os requisitos de formação de conjuntos e os requisitos de validação de conjuntos estão em vigor.
4. Testar o RWS localmente
Antes de criar uma pull request (PR) para enviar o conjunto, teste o envio localmente para garantir que ele passe por todas as verificações necessárias.
5. Enviar o RWS
Envie o conjunto de sites relacionados criando um PR para o arquivo related_website_sets.JSON, em que o Chrome hospeda a lista canônica de conjuntos de sites relacionados. Uma conta do GitHub é necessária para criar PRs, e você precisa assinar um contrato de licença do colaborador (CLA, na sigla em inglês) antes de contribuir para a lista.
Depois que a PR é criada, uma série de verificações é concluída para garantir que os
requisitos da etapa 3 estejam em vigor, como verificar se você assinou a
CLA e se o arquivo .well-known é válido.
Se for bem-sucedido, a PR vai indicar que as verificações foram aprovadas. Os PRs aprovados serão mesclados manualmente em lotes à lista canônica de conjuntos de sites relacionados uma vez por semana (às terças-feiras, às 12h do horário da Costa Leste dos EUA). Se alguma das verificações falhar, o remetente vai receber uma notificação de falha de PR no GitHub. O remetente pode corrigir os erros e atualizar a PR. Lembre-se de que:
- Se a PR falhar, uma mensagem de erro vai fornecer mais informações sobre o motivo da falha. (exemplo).
- Todas as verificações técnicas que regem os envios de conjuntos são realizadas no GitHub. Consequentemente, todas as falhas de envio resultantes de verificações técnicas podem ser visualizadas no GitHub.
Políticas empresariais
O Chrome tem duas políticas para atender às necessidades dos usuários corporativos:
- Os sistemas que não podem ser integrados aos conjuntos de sites relacionados podem
desativar o recurso em todas as instâncias corporativas do
Chrome com a política
RelatedWebsiteSetsEnabled.- Alguns sistemas corporativos têm sites somente internos (como uma intranet)
com domínios registráveis diferentes dos domínios no conjunto de sites relacionados. Se eles precisarem tratar esses sites como parte do conjunto de sites relacionados sem expô-los publicamente (já que os domínios podem ser confidenciais), eles poderão aumentar ou substituir a lista de conjuntos de sites relacionados públicos com a política
RelatedWebsiteSetsOverrides.
- Alguns sistemas corporativos têm sites somente internos (como uma intranet)
com domínios registráveis diferentes dos domínios no conjunto de sites relacionados. Se eles precisarem tratar esses sites como parte do conjunto de sites relacionados sem expô-los publicamente (já que os domínios podem ser confidenciais), eles poderão aumentar ou substituir a lista de conjuntos de sites relacionados públicos com a política
O Chrome resolve qualquer interseção dos conjuntos público e Enterprise de uma das duas
maneiras, dependendo se replacements ou additions são especificados.
Por exemplo, para o conjunto público {primary: A, associated: [B, C]}:
replacements set: |
{primary: C, associated: [D, E]} |
| O conjunto de empresa absorve o site comum para formar um novo conjunto. | |
| Conjuntos resultantes: | {primary: A, associated: [B]}{primary: C, associated: [D, E]} |
additions set: |
{primary: C, associated: [D, E]} |
| Os conjuntos público e Enterprise são combinados. | |
| Conjunto resultante: | {primary: C, associated: [A, B, D, E]} |
Resolver problemas de conjuntos de sites relacionados
"Prompt do usuário" e "gesto do usuário"
Um "comando do usuário" e um "gesto do usuário" são coisas diferentes. O Chrome não vai mostrar uma
solicitações de permissão para usuários de
sites que estão no mesmo conjunto de sites relacionados, mas ainda exige que
o usuário tenha interagido com a página. Antes de conceder a permissão, o Chrome
exige um gesto
do usuário,
também chamado de "interação do usuário" ou "ativação do usuário". Isso ocorre porque o uso da
API Storage Access fora do contexto de um conjunto de sites relacionados (ou seja, requestStorageAccess()) também exige um gesto do usuário devido aos princípios de
design
da plataforma da Web.
Acessar cookies ou armazenamento de outros sites
Os conjuntos de sites relacionados não mesclam o armazenamento de sites diferentes, apenas permitem
chamadas requestStorageAccess() mais fáceis (sem aviso). Os conjuntos de sites relacionados
diminuem a fricção do usuário ao usar a API Storage Access, mas não determinam
o que fazer depois que o acesso é restaurado. Se A e B forem sites diferentes no
mesmo conjunto de sites relacionados e A incorporar B, B poderá chamar requestStorageAccess()
e ter acesso ao armazenamento próprio sem solicitar ao usuário. Os conjuntos de sites relacionados não realizam nenhuma comunicação entre sites. Por exemplo, a configuração de um conjunto de sites relacionados não faz com que os cookies pertencentes a B comecem a ser enviados para A. Se você quiser compartilhar esses dados, será necessário fazer isso por conta própria,
por exemplo, enviando um window.postMessage de um iframe B para um frame A.
Acesso de cookies não particionado por padrão
Os conjuntos de sites relacionados não permitem o acesso implícito de cookies não particionados sem
invocar nenhuma API. Os cookies entre sites não são disponibilizados por padrão no
conjunto. Os conjuntos de sites relacionados permitem que os sites do conjunto ignorem a
permissão da API Storage Access.
Um iframe precisa chamar document.requestStorageAccess() se quiser acessar os
cookies, ou a página de nível superior pode chamar document.requestStorageAccessFor().
Compartilhar feedback
Enviar um conjunto no GitHub e trabalhar com a API Storage Access e a
API requestStorageAccessFor são oportunidades para compartilhar sua experiência com
o processo e os problemas que você encontrar.
Para participar das discussões sobre os conjuntos de sites relacionados:
- Participe da lista de e-mails
públicos de conjuntos de sites relacionados.
- Informe problemas e siga a discussão no repositório do GitHub de conjuntos de sites relacionados.