Les ensembles de sites Web associés sont un mécanisme de plate-forme Web qui aide les navigateurs à comprendre les relations entre une collection de domaines. Cela permet aux navigateurs de prendre des décisions clés pour activer certaines fonctions du site (par exemple, autoriser ou non l'accès aux cookies multisites) et de présenter ces informations aux utilisateurs.
De nombreux sites s'appuient sur plusieurs domaines pour offrir une expérience utilisateur unique. Les organisations peuvent souhaiter conserver différents domaines de premier niveau pour plusieurs cas d'utilisation, tels que des domaines spécifiques à un pays ou des domaines de service pour héberger des images ou des vidéos. Les ensembles de sites Web associés permettent aux sites de partager des données entre les domaines, avec des contrôles spécifiques.
Qu'est-ce qu'un ensemble de sites Web associés ?
De manière générale, un Ensemble de sites Web associés est une collection de domaines pour lesquels il existe un seul "site principal" et potentiellement plusieurs "sites membres".
Dans l'exemple suivant, primary liste le domaine principal et associatedSites liste les domaines qui répondent aux exigences du sous-ensemble associé.
{
"primary": "https://primary.com",
"associatedSites": ["https://associate1.com", "https://associate2.com", "https://associate3.com"]
}
Les ensembles de sites Web associés sont listés dans un fichier JSON public hébergé sur GitHub. Il s'agit de la source canonique pour tous les ensembles approuvés. Les navigateurs utilisent ce fichier pour déterminer si les sites appartiennent ou non au même ensemble de sites Web associés.
Seules les personnes disposant d'un contrôle administratif sur un domaine peuvent créer un ensemble avec ce domaine. Les personnes qui envoient des données doivent déclarer la relation entre chaque "membre de l'ensemble" et son "ensemble principal". Les membres d'un ensemble peuvent inclure différents types de domaines et doivent faire partie d'un sous-ensemble basé sur un cas d'utilisation.
Si votre application dépend de l'accès aux cookies multisites (également appelés cookies tiers) sur les sites d'un même ensemble de sites Web associés, vous pouvez utiliser l'API Storage Access et l'API requestStorageAccessFor pour demander l'accès à ces cookies. Selon le sous-ensemble auquel appartient chaque site, le navigateur peut traiter la requête différemment.
Pour en savoir plus sur la procédure et les exigences concernant l'envoi d'ensembles, consultez les Consignes d'envoi. Les ensembles envoyés feront l'objet de divers contrôles techniques pour valider les envois.
Cas d'utilisation des ensembles de sites Web associés
Les ensembles de sites Web associés sont adaptés aux cas où une organisation a besoin d'une forme d'identité partagée sur différents sites de premier niveau.
Voici quelques cas d'utilisation des ensembles de sites Web associés :
- Personnalisation par pays : Utiliser des sites localisés tout en s'appuyant sur une infrastructure partagée (par exemple, example.co.uk peut s'appuyer sur un service hébergé par example.ca).
- Intégration du domaine de service : Exploitation de domaines de services avec lesquels les utilisateurs n'interagissent jamais directement, mais qui fournissent des services sur les sites de la même organisation (example-cdn.com, par exemple).
- Séparation du contenu utilisateur Accès aux données sur différents domaines qui séparent le contenu importé par les utilisateurs du reste du contenu du site pour des raisons de sécurité, tout en autorisant l'accès du domaine sandboxé aux cookies d'authentification (et autres). Si vous diffusez du contenu inactif importé par les utilisateurs, vous pouvez également l'héberger en toute sécurité sur le même domaine en suivant les bonnes pratiques.
- Contenu authentifié intégré : Prise en charge du contenu intégré provenant de propriétés affiliées (vidéos, documents ou ressources réservés à l'utilisateur connecté sur le site de premier niveau).
- Se connecter Prise en charge de la connexion sur les propriétés affiliées. L'API FedCM peut également être appropriée pour certains cas d'utilisation.
- Analytics. Déployer des analyses et des mesures des parcours utilisateur sur les propriétés affiliées pour améliorer la qualité des services.
Détails de l'intégration des ensembles de sites Web associés
API Storage Access
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
L'API Storage Access (SAA) permet au contenu intégré multi-origines d'accéder au stockage auquel il n'aurait normalement accès que dans un contexte propriétaire.
Les ressources intégrées peuvent utiliser les méthodes SAA pour vérifier si elles ont actuellement accès au stockage et pour demander l'accès à l'agent utilisateur.
Lorsque les cookies tiers sont bloqués, mais que les ensembles de sites Web associés (RWS) sont activés, Chrome accorde automatiquement l'autorisation dans les contextes intra-RWS et affiche une invite à l'utilisateur dans les autres cas. (Un "contexte intra-RWS" est un contexte, tel qu'un iframe, dont le site intégré et le site de premier niveau se trouvent dans le même RWS.)
Vérifier l'accès au stockage et le demander
Pour vérifier s'ils ont actuellement accès au stockage, les sites intégrés peuvent utiliser la méthode Document.hasStorageAccess().
La méthode renvoie une promesse qui se résout avec une valeur booléenne indiquant si le document a déjà accès à ses cookies ou non. La promesse renvoie également la valeur "true" si l'iFrame a la même origine que le frame de premier niveau.
Pour demander l'accès aux cookies dans un contexte inter-sites, les sites intégrés peuvent utiliser Document.requestStorageAccess() (rSA).
L'API requestStorageAccess() est conçue pour être appelée depuis un iFrame.
Cet iFrame doit avoir récemment reçu une interaction de l'utilisateur (un geste de l'utilisateur, qui est requis par tous les navigateurs). Toutefois, Chrome exige également que l'utilisateur ait visité le site propriétaire de cet iFrame et ait interagi avec ce site spécifiquement au cours des 30 derniers jours, en tant que document de premier niveau et non dans un iFrame.
requestStorageAccess() renvoie une promesse qui se résout si l'accès au stockage a été accordé. La promesse est refusée, en indiquant le motif, si l'accès a été refusé pour une raison quelconque.
requestStorageAccessFor dans Chrome
L'API Storage Access n'autorise les sites intégrés à demander l'accès au stockage qu'à partir d'éléments <iframe> ayant fait l'objet d'une interaction de l'utilisateur.
Cela pose des problèmes pour l'adoption de l'API Storage Access pour les sites de premier niveau qui utilisent des images ou des balises de script multisites nécessitant des cookies.
Pour résoudre ce problème, Chrome a mis en place un moyen pour les sites de premier niveau de demander l'accès au stockage au nom d'origines spécifiques avec Document.requestStorageAccessFor() (rSAFor).
document.requestStorageAccessFor('https://target.site')
L'API requestStorageAccessFor() est conçue pour être appelée par un document de premier niveau. Ce document doit également avoir fait l'objet d'une interaction utilisateur récente. Toutefois, contrairement à requestStorageAccess(), Chrome ne recherche pas d'interaction dans un document de premier niveau au cours des 30 derniers jours, car l'utilisateur se trouve déjà sur la page.
Vérifier les autorisations d'accès au stockage
L'accès à certaines fonctionnalités du navigateur, comme l'appareil photo ou la géolocalisation, dépend des autorisations accordées par l'utilisateur. L'API Permissions permet de vérifier l'état des autorisations d'accès à une API (accordées, refusées ou nécessitant une forme d'interaction utilisateur, comme cliquer sur une invite ou interagir avec la page).
Vous pouvez interroger l'état des autorisations à l'aide de navigator.permissions.query().
Pour vérifier l'autorisation d'accès au stockage pour le contexte actuel, vous devez transmettre la chaîne 'storage-access' :
navigator.permissions.query({name: 'storage-access'})
Pour vérifier l'autorisation d'accès au stockage pour une origine spécifique, vous devez transmettre la chaîne 'top-level-storage-access' :
navigator.permissions.query({name: 'top-level-storage-access', requestedOrigin: 'https://target.site'})
Notez que, pour protéger l'intégrité de l'origine intégrée, cette vérification ne concerne que les autorisations accordées par le document de premier niveau à l'aide de document.requestStorageAccessFor.
Selon que l'autorisation peut être accordée automatiquement ou qu'elle nécessite un geste de l'utilisateur, elle renvoie prompt ou granted.
Modèle par frame
Les autorisations rSA s'appliquent par frame. Les autorisations rSA et rSAFor sont traitées comme des autorisations distinctes.
Chaque nouvelle frame devra demander l'accès au stockage individuellement, et l'accès lui sera automatiquement accordé. Seule la première requête nécessite un geste de l'utilisateur. Les requêtes ultérieures initiées par l'iFrame, telles que la navigation ou les sous-ressources, n'auront pas besoin d'attendre un geste de l'utilisateur, car celui-ci sera accordé pour la session de navigation par la requête initiale.
Si vous actualisez, rechargez ou recréez l'iFrame, vous devrez de nouveau demander l'accès.
Exigences concernant les cookies
Les cookies doivent spécifier les attributs SameSite=None et Secure, car rSA fournit uniquement l'accès aux cookies déjà marqués pour une utilisation dans des contextes multisites.
Les cookies avec SameSite=Lax, SameSite=Strict ou sans attribut SameSite sont réservés à un usage propriétaire et ne seront jamais partagés dans un contexte intersites, quel que soit le RSA.
Sécurité
Pour rSAFor, les requêtes de sous-ressources nécessitent des en-têtes Cross-Origin Resource Sharing (CORS) ou l'attribut crossorigin sur les ressources, ce qui garantit un consentement explicite.
Exemples d'intégration
Demander l'accès au stockage depuis un iFrame intégré d'origine différente
requestStorageAccess() dans un élément intégré sur un autre site.Vérifier si vous avez accès au stockage
Pour vérifier si vous avez déjà accès au stockage, utilisez document.hasStorageAccess().
Si la promesse renvoie la valeur "true", vous pouvez accéder au stockage dans le contexte multisite. Si la valeur renvoyée est "false", vous devez demander l'accès au stockage.
document.hasStorageAccess().then((hasAccess) => {
if (hasAccess) {
// You can access storage in this context
} else {
// You have to request storage access
}
});
Demander l'accès à l'espace de stockage
Si vous devez demander l'accès au stockage, vérifiez d'abord l'autorisation d'accès au stockage navigator.permissions.query({name: 'storage-access'}) pour voir si elle nécessite un geste de l'utilisateur ou si elle peut être accordée automatiquement.
Si l'autorisation est granted, vous pouvez appeler document.requestStorageAccess() et l'opération devrait réussir sans geste de l'utilisateur.
Si l'état de l'autorisation est prompt, vous devez lancer l'appel document.requestStorageAccess() après un geste de l'utilisateur, comme un clic sur un bouton.
Exemple :
navigator.permissions.query({name: 'storage-access'}).then(res => {
if (res.state === 'granted') {
// Permission has already been granted
// You can request storage access without any user gesture
rSA();
} else if (res.state === 'prompt') {
// Requesting storage access requires user gesture
// For example, clicking a button
const btn = document.createElement("button");
btn.textContent = "Grant access";
btn.addEventListener('click', () => {
// Request storage access
rSA();
});
document.body.appendChild(btn);
}
});
function rSA() {
if ('requestStorageAccess' in document) {
document.requestStorageAccess().then(
(res) => {
// Use storage access
},
(err) => {
// Handle errors
}
);
}
}
Les requêtes, navigations ou sous-ressources ultérieures provenant du frame seront automatiquement autorisées à accéder aux cookies intersites.
hasStorageAccess() renvoie la valeur "true", et les cookies multisites du même ensemble de sites Web associés seront envoyés avec ces requêtes sans aucun appel JavaScript supplémentaire.
Sites de premier niveau demandant l'accès aux cookies pour le compte de sites d'origines croisées
requestStorageAccessFor() sur un site de premier niveau pour une origine différenteLes sites de premier niveau peuvent utiliser requestStorageAccessFor() pour demander l'accès au stockage au nom d'origines spécifiques.
hasStorageAccess() vérifie uniquement si le site qui l'appelle a accès au stockage. Un site de premier niveau peut donc vérifier les autorisations d'une autre origine.
Pour savoir si l'utilisateur sera invité à accorder l'accès au stockage ou si cet accès a déjà été accordé à l'origine spécifiée, appelez navigator.permissions.query({name:
'top-level-storage-access', requestedOrigin: 'https://target.site'}).
Si l'autorisation est granted, vous pouvez appeler document.requestStorageAccessFor('https://target.site'). Elle doit réussir sans geste de l'utilisateur.
Si l'autorisation est prompt, vous devrez associer l'appel document.requestStorageAccessFor('https://target.site') au geste de l'utilisateur, comme un clic sur un bouton.
Exemple :
navigator.permissions.query({name:'top-level-storage-access',requestedOrigin: 'https://target.site'}).then(res => {
if (res.state === 'granted') {
// Permission has already been granted
// You can request storage access without any user gesture
rSAFor();
} else if (res.state === 'prompt') {
// Requesting storage access requires user gesture
// For example, clicking a button
const btn = document.createElement("button");
btn.textContent = "Grant access";
btn.addEventListener('click', () => {
// Request storage access
rSAFor();
});
document.body.appendChild(btn);
}
});
function rSAFor() {
if ('requestStorageAccessFor' in document) {
document.requestStorageAccessFor().then(
(res) => {
// Use storage access
},
(err) => {
// Handle errors
}
);
}
}
Après un appel requestStorageAccessFor() réussi, les requêtes multisites incluront des cookies si elles incluent CORS ou l'attribut crossorigin. Les sites peuvent donc attendre avant de déclencher une requête.
Les requêtes doivent utiliser l'option credentials: 'include' et les ressources doivent inclure l'attribut crossorigin="use-credentials".
function checkCookie() {
fetch('https://related-website-sets.glitch.me/getcookies.json', {
method: 'GET',
credentials: 'include'
})
.then((response) => response.json())
.then((json) => {
// Do something
});
}
Tester en local
Prérequis
Pour tester les ensembles de sites Web associés en local, utilisez Chrome 119 ou version ultérieure lancé à partir de la ligne de commande et activez le test-third-party-cookie-phaseout flag Chrome.
Activer le flag Chrome
Pour activer le flag Chrome nécessaire, accédez à chrome://flags#test-third-party-cookie-phaseout depuis la barre d'adresse et définissez le flag sur Enabled. Veillez à redémarrer le navigateur après avoir modifié les indicateurs.
Lancer Chrome avec un ensemble de sites Web associés locaux
Pour lancer Chrome avec un ensemble de sites Web associés déclaré localement, créez un objet JSON contenant les URL membres d'un ensemble et transmettez-le à --use-related-website-set.
Découvrez comment exécuter Chromium avec des indicateurs.
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}" \
https://related-website-sets.glitch.me/
Exemple
Pour activer les ensembles de sites Web associés en local, vous devez activer test-third-party-cookie-phaseout dans chrome://flags et lancer Chrome à partir de la ligne de commande avec l'indicateur --use-related-website-set et l'objet JSON contenant les URL membres d'un ensemble.
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}" \
https://related-website-sets.glitch.me/
Vérifiez que vous avez accès aux cookies multisites.
Appelez les API (rSA ou rSAFor) à partir des sites testés et validez l'accès aux cookies multisites.
Processus d'envoi des ensembles de sites Web associés
Suivez les étapes ci-dessous pour déclarer la relation entre les domaines et spécifier le sous-ensemble auquel ils appartiennent.
1. Identifier votre RWS
Identifiez les domaines concernés, y compris les sites principaux et les sites membres qui feront partie de l'ensemble de sites Web associés. Identifiez également le type de sous-ensemble auquel appartient chaque membre de l'ensemble.
2. Créer votre envoi RWS
Créez une copie locale (clone ou fork) du dépôt GitHub. Dans une nouvelle branche, apportez les modifications au fichier related_website_sets.JSON pour refléter votre ensemble. Pour vous assurer que votre ensemble possède le format et la structure JSON appropriés, vous pouvez utiliser l'outil de génération JSON.
3. Vérifier que votre RWS répond aux exigences techniques
Assurez-vous de respecter les conditions requises pour la formation des ensembles et les conditions requises pour la validation des ensembles.
4. Tester votre RWS en local
Avant de créer une demande d'extraction pour envoyer votre ensemble, testez votre envoi localement pour vous assurer qu'il passe toutes les vérifications requises.
5. Envoyer votre RWS
Envoyez l'ensemble de sites Web associés en créant une demande d'extraction pour le fichier related_website_sets.JSON, où Chrome héberge la liste canonique des ensembles de sites Web associés. (Un compte GitHub est requis pour créer des demandes d'extraction. Vous devrez également signer un contrat de licence du contributeur (CLA) avant de pouvoir contribuer à la liste.)
Une fois la demande de pull créée, une série de vérifications est effectuée pour s'assurer que les exigences de l'étape 3 sont respectées, par exemple en vérifiant que vous avez signé le CLA et que le fichier .well-known est valide.
Si l'opération réussit, la demande d'extraction indique que les vérifications ont été effectuées. Les demandes de pull approuvées seront fusionnées manuellement par lots dans la liste canonique des ensembles de sites Web associés une fois par semaine (le mardi à 12h, heure de l'Est). Si l'une des vérifications échoue, l'auteur de la demande sera averti par un échec de la demande sur GitHub. Le contributeur peut corriger les erreurs et mettre à jour la demande de pull. Voici quelques points à retenir :
- Si la demande de modification échoue, un message d'erreur fournit des informations supplémentaires sur la raison de l'échec. (exemple).
- Toutes les vérifications techniques régissant les envois d'ensembles sont effectuées sur GitHub. Par conséquent, tous les échecs d'envoi résultant de vérifications techniques seront visibles sur GitHub.
Règles pour les entreprises
Chrome propose deux règles pour répondre aux besoins des utilisateurs Enterprise :
- Les systèmes qui ne peuvent pas s'intégrer aux ensembles de sites Web associés peuvent désactiver cette fonctionnalité dans toutes les instances Enterprise de Chrome à l'aide de la règle
RelatedWebsiteSetsEnabled.- Certains systèmes d'entreprise comportent des sites internes uniquement (comme un intranet) avec des domaines enregistrables qui diffèrent de ceux de leur ensemble de sites Web associés. S'ils doivent traiter ces sites comme faisant partie de leur ensemble de sites Web associés sans les exposer publiquement (car les domaines peuvent être confidentiels), ils peuvent compléter ou remplacer leur liste publique d'ensembles de sites Web associés avec la règle
RelatedWebsiteSetsOverrides.
- Certains systèmes d'entreprise comportent des sites internes uniquement (comme un intranet) avec des domaines enregistrables qui diffèrent de ceux de leur ensemble de sites Web associés. S'ils doivent traiter ces sites comme faisant partie de leur ensemble de sites Web associés sans les exposer publiquement (car les domaines peuvent être confidentiels), ils peuvent compléter ou remplacer leur liste publique d'ensembles de sites Web associés avec la règle
Chrome résout toute intersection des ensembles public et Enterprise de deux manières, selon que replacements ou additions sont spécifiés.
Par exemple, pour l'ensemble public {primary: A, associated: [B, C]} :
replacements set : |
{primary: C, associated: [D, E]} |
| L'ensemble Enterprise absorbe le site commun pour former un nouvel ensemble. | |
| Ensembles obtenus : | {primary: A, associated: [B]}{primary: C, associated: [D, E]} |
additions set : |
{primary: C, associated: [D, E]} |
| Les ensembles publics et Enterprise sont combinés. | |
| Ensemble obtenu : | {primary: C, associated: [A, B, D, E]} |
Résoudre les problèmes liés aux ensembles de sites Web associés
"Requête utilisateur" et "geste de l'utilisateur"
Une "invite utilisateur" et un "geste utilisateur" sont deux choses différentes. Chrome n'affiche pas d'invite d'autorisation pour les sites qui appartiennent au même ensemble de sites Web associés, mais exige toujours que l'utilisateur ait interagi avec la page. Avant d'accorder l'autorisation, Chrome exige un geste de l'utilisateur, également appelé "interaction de l'utilisateur" ou "activation par l'utilisateur". En effet, l'utilisation de l'API Storage Access en dehors d'un ensemble de sites Web associés (à savoir requestStorageAccess()) nécessite également un geste de l'utilisateur, en raison des principes de conception de la plate-forme Web.
Accéder aux cookies ou au stockage d'autres sites
Les ensembles de sites Web associés ne fusionnent pas le stockage pour différents sites. Ils permettent simplement des appels requestStorageAccess() plus faciles (sans invite). Les ensembles de sites Web associés ne font que réduire les frictions liées à l'utilisation de l'API Storage Access, mais ne dictent pas ce qu'il faut faire une fois l'accès rétabli. Si A et B sont des sites différents du même ensemble de sites Web associés, et que A intègre B, B peut appeler requestStorageAccess() et accéder au stockage first party sans inviter l'utilisateur. Les ensembles de sites Web associés n'effectuent aucune communication multisite. Par exemple, la configuration d'un ensemble de sites Web associés n'entraînera pas l'envoi des cookies appartenant à B à A. Si vous souhaitez partager ces données, vous devrez le faire vous-même, par exemple en envoyant un window.postMessage d'un iFrame B à un iFrame A.
Accès aux cookies non partitionnés par défaut
Les ensembles de sites Web associés n'autorisent pas l'accès implicite aux cookies non partitionnés sans appeler d'API. Les cookies multisites ne sont pas disponibles par défaut dans l'ensemble. Les ensembles de sites Web associés permettent simplement aux sites de l'ensemble de passer l'invite d'autorisation de l'API Storage Access.
Un iFrame doit appeler document.requestStorageAccess() s'il souhaite accéder à ses cookies, ou la page de premier niveau peut appeler document.requestStorageAccessFor().
Envoyer des commentaires
En envoyant un ensemble sur GitHub et en utilisant l'API Storage Access et l'API requestStorageAccessFor, vous pouvez partager votre expérience avec le processus et les problèmes que vous rencontrez.
Pour participer aux discussions sur les ensembles de sites Web associés :
- Rejoignez la liste de diffusion publique des Ensembles de sites Web associés.
- Signalez les problèmes et suivez la discussion sur le dépôt GitHub des ensembles de sites Web associés.