Uji coba origin iframe anonim: Sematkan iframe dengan mudah di lingkungan COEP

Arthur Sonzogni
Arthur Sonzogni

Developer yang menggunakan COEP kini dapat menyematkan iframe pihak ketiga yang tidak menggunakan COEP.

Alasan kita memerlukan COEP

Beberapa API web meningkatkan risiko serangan side-channel seperti Spectre. Untuk memitigasi risiko tersebut, browser menawarkan lingkungan terisolasi berbasis keikutsertaan yang disebut isolasi lintas asal, yang, antara lain, memerlukan deployment COEP. Hal ini memungkinkan situs menggunakan fitur dengan hak istimewa termasuk SharedArrayBuffer, performance.measureUserAgentSpecificMemory(), dan timer presisi tinggi dengan resolusi yang lebih baik.

Untuk mengaktifkan isolasi lintas-asal, situs harus mengirim dua header HTTP berikut:

Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin

Tantangan dalam mengaktifkan COEP

Meskipun isolasi lintas origin memberikan keamanan yang lebih baik dan kemampuan untuk mengaktifkan fitur yang canggih, men-deploy COEP dapat sulit. Salah satu tantangan terbesarnya adalah semua iframe lintas origin juga harus men-deploy COEP dan CORP. Iframe tanpa header tersebut tidak akan dimuat oleh browser.

Iframe biasanya ditayangkan oleh pihak ketiga yang mungkin tidak mudah untuk men-deploy COEP.

Iframe anonim untuk menyelamatkan

Di sinilah iframe anonim berperan. Dengan menambahkan atribut anonymous ke elemen <iframe>, iframe dimuat dari partisi penyimpanan sementara yang berbeda dan tidak lagi tunduk pada pembatasan COEP.

Contoh:

<iframe anonymous src="https://example.com">

Iframe dibuat dalam konteks sementara baru dan tidak memiliki akses ke cookie apa pun yang terkait dengan situs tingkat teratas. Proses ini dimulai dari jar kue kosong. Demikian pula, API penyimpanan seperti LocalStorage, CacheStorage, IndexedDB, dan sebagainya, memuat dan menyimpan data di partisi sementara baru. Partisi dibatasi untuk dokumen tingkat teratas saat ini dan asal iframe. Penyimpanan akan dihapus setelah dokumen level teratas di-unload.

Iframe anonim tidak tunduk pada aturan penyematan COEP. Hal ini masih aman, karena dimuat dari konteks kosong baru setiap saat. Halaman tersebut akan dimuat tanpa mempersonalisasi data mereka. Data tersebut hanya berisi data publik, yang tidak bernilai bagi penyerang.

Demo

Anda dapat melihat iframe anonim di: https://anonymous-iframe.glitch.me/

Mendaftar untuk uji coba origin

Untuk memastikan bahwa iframe Anonim membantu developer mengadopsi isolasi lintas origin, kami menyediakannya di Chrome dari versi 106 hingga 108 sebagai uji coba origin.

Daftar ke uji coba origin agar situs Anda dapat menggunakan iframe Anonim:

  1. Minta token untuk origin Anda.
  2. Gunakan token dengan salah satu cara berikut:
    • Dalam HTML Anda: html <meta http-equiv="Origin-Trial" content="TOKEN_GOES_HERE">
    • Di JavaScript Anda: js const meta = document.createElement('meta'); meta.httpEquiv = 'Origin-Trial'; meta.content = 'TOKEN_GOES_HERE'; document.head.append(meta);
    • Di header HTTP: text Origin-Trial: TOKEN_GOES_HERE
  3. Tambahkan iframe anonim ke halaman Anda: html <iframe anonymous src="https://example.com">

Jika Anda memiliki masukan tentang fitur ini, laporkan masalah di repositori GitHub.

Uji coba origin pihak ketiga

Uji coba origin juga tersedia untuk skrip pihak ketiga. Artinya, fitur ini dapat diaktifkan oleh skrip yang disematkan di halaman.

Pelajari lebih lanjut cara mendaftar untuk uji coba origin pihak ketiga.

FAQ

Apakah fitur ini akan diadopsi oleh browser lain?

Apakah iframe yang disusun bertingkat di dalam <iframe anonymous> bersifat anonim?

Ya. Ini diwariskan. Setelah iframe menjadi anonim, hal ini berlaku untuk semua iframe di seluruh sub-pohon meskipun tanpa atribut anonymous.

Apakah pop-up yang dibuat dari <iframe anonymous> juga bersifat anonim?

Pop-up dibuka seolah-olah noopener telah ditetapkan. Fungsi ini dibuat dari konteks tingkat teratas reguler baru dan tidak anonim. Mereka tidak dapat berkomunikasi dengan iframe anonim.

Resource