সীমাবদ্ধ-বৈশিষ্ট্যের সাথে নিরাপদ পপআপ ইন্টারঅ্যাকশন

পপআপের সাথে ইন্টারঅ্যাক্ট করার সময় ক্রস-অরিজিন আইসোলেশন এবং ক্রস-সাইট লিক সুরক্ষা পান।

Arthur Hemery

Maud Nalpas

ক্রস-অরিজিন ওপেনার পলিসি (COOP) এর জন্য একটি নতুন মান উপলব্ধ: restrict-properties । এটি নিরাপত্তা সুবিধা নিয়ে আসে এবং আপনার সাইটকে অর্থপ্রদান, প্রমাণীকরণ বা অন্যান্য ব্যবহারের ক্ষেত্রে তৃতীয় পক্ষের পপআপগুলির সাথে ইন্টারঅ্যাক্ট করার অনুমতি দেওয়ার সময় ক্রস-অরিজিন আইসোলেশন গ্রহণ করা সহজ করে তোলে।

restrict-properties নিয়ে পরীক্ষা-নিরীক্ষা শুরু করতে Chrome 116- এ শুরু হওয়া অরিজিন ট্রায়ালে অংশগ্রহণ করুন।

কেন restrict-properties ব্যবহার করুন

restrict-properties দুটি প্রধান ব্যবহারের ক্ষেত্রে রয়েছে:

• ব্রেকেজ ছাড়াই ক্রস-সাইট লিক প্রতিরোধ করা।
• আপনার সাইট ক্রস-অরিজিনকে বিচ্ছিন্ন করা।

ভাঙা ছাড়াই ক্রস-সাইট লিক প্রতিরোধ করুন

ডিফল্টরূপে, যেকোনো ওয়েবসাইট একটি পপআপে আপনার অ্যাপ্লিকেশন খুলতে পারে এবং এটির একটি রেফারেন্স পেতে পারে।

একটি দূষিত ওয়েবসাইট ক্রস-সাইট ফাঁসের মতো আক্রমণ করতে তাদের সুবিধার জন্য এটি ব্যবহার করতে পারে। এই ঝুঁকি কমাতে, আপনি Cross-Origin-Opener-Policy (COOP) হেডার ব্যবহার করতে পারেন।

এখন পর্যন্ত, Cross-Origin-Opener-Policy জন্য আপনার বিকল্প সীমিত ছিল। আপনি হয় করতে পারেন:

• same-origin, যা পপআপের সাথে সমস্ত ক্রস-অরিজিন ইন্টারঅ্যাকশনকে ব্লক করে।
• same-origin-allow-popups সেট করুন, যা আপনার সাইটকে পপআপে খোলে এমন সমস্ত ক্রস-অরিজিন ইন্টারঅ্যাকশন ব্লক করে।
• সেট unsafe-none , যা পপআপগুলির সাথে সমস্ত ক্রস-অরিজিন ইন্টারঅ্যাকশনের অনুমতি দেয়৷

এটি এমন ওয়েবসাইটগুলির জন্য অসম্ভব করে তুলেছে যেগুলিকে একটি পপআপে খোলার প্রয়োজন এবং COOP প্রয়োগ করতে তাদের ওপেনারের সাথে যোগাযোগ করা। একক সাইন-অন এবং ক্রস-সাইট লিক থেকে অরক্ষিত পেমেন্টের মতো এই কী ব্যবহার কেস বাম।

Cross-Origin-Opener-Policy: restrict-properties এটি সমাধান করে।

restrict-properties সাথে, ফ্রেম গণনা এবং অন্যান্য ক্রস-সাইট লিক আক্রমণের জন্য ব্যবহার করা যেতে পারে এমন বৈশিষ্ট্যগুলি উপলব্ধ নেই—কিন্তু postMessage এবং closed মাধ্যমে উইন্ডোগুলির মধ্যে প্রাথমিক যোগাযোগ অনুমোদিত।

এটি মূল ব্যবহারের ক্ষেত্রে বজায় রাখার সময় একটি সাইটের নিরাপত্তা উন্নত করে। উদাহরণ স্বরূপ:

• আপনি যদি একটি পপআপে একটি পরিষেবা প্রদান করেন, Cross-Origin-Opener-Policy: restrict-properties ক্রস-সাইট লিক আক্রমণের একটি পরিসর থেকে নিজেকে রক্ষা করবে৷ আপনি এখনও সমস্ত পৃষ্ঠা খুলতে পারেন যা আপনি আগে খুলতে পারেন।
• আপনি যদি একটি ক্রস-অরিজিন পপআপ অ্যাক্সেস করতে চান, Cross-Origin-Opener-Policy: restrict-properties একইভাবে আপনার সাইটকে আইফ্রেম গণনা থেকে রক্ষা করবে। আপনি পপআপের একই সেট খুলতে সক্ষম হবেন যা আপনি আজ খুলতে পারেন।
• যদি ওপেনার এবং ওপেনার উভয়ই হেডার সেট করে এবং পৃষ্ঠাগুলি ক্রস-অরিজিন হয়, তাহলে এটি তাদের মধ্যে একজন হেডার সেট করার মতোই আচরণ করে। যদি তারা একই-উৎস হয়, সম্পূর্ণ অ্যাক্সেস দেওয়া হয়।

আপনার সাইট ক্রস-অরিজিন বিচ্ছিন্ন করুন

কেন আমাদের ক্রস-অরিজিন আইসোলেশন দরকার

কিছু ওয়েব এপিআই স্পেকটারের মতো পার্শ্ব-চ্যানেল আক্রমণের ঝুঁকি বাড়ায়। সেই ঝুঁকি কমাতে, ব্রাউজারগুলি ক্রস-অরিজিন আইসোলেশন নামে একটি অপ্ট-ইন-ভিত্তিক বিচ্ছিন্ন পরিবেশ অফার করে। একটি ক্রস-অরিজিন আইসোলেটেড স্টেট সহ, ওয়েবপৃষ্ঠাটি বিশেষ সুবিধাপ্রাপ্ত বৈশিষ্ট্যগুলি ব্যবহার করতে পারে যার মধ্যে SharedArrayBuffer , performance.measureUserAgentSpecificMemory() এবং আরও ভাল রেজোলিউশন সহ উচ্চ-নির্ভুল টাইমার রয়েছে , অন্যদের থেকে উৎসকে বিচ্ছিন্ন করার সময় যদি সেগুলি বেছে না থাকে৷

এখন পর্যন্ত, এই APIগুলি ব্যবহার করার জন্য, আপনাকে Cross-Origin-Opener-Policy: same-origin । যাইহোক, এটি আপনার প্রয়োজন হতে পারে এমন যেকোনো ক্রস-অরিজিন পপআপ ফ্লো ভেঙে দেবে, যেমন একক সাইন-অন এবং পেমেন্ট।

Cross-Origin-Opener-Policy: restrict-properties Cross-Origin-Opener-Policy: same-origin পরিবর্তে সীমাবদ্ধ-সম্পত্তি ব্যবহার করা যেতে পারে। ওপেনার সম্পর্ক ছিন্ন করার পরিবর্তে, এটি শুধুমাত্র window.postMessage() এবং window.closed এর ন্যূনতম যোগাযোগ উপসেটে সীমাবদ্ধ করে।

আপনি নিম্নলিখিত দুটি শিরোনাম দিয়ে ক্রস-অরিজিন বিচ্ছিন্নতা সক্ষম করতে সক্ষম হবেন:

Cross-Origin-Opener-Policy: restrict-properties
Cross-Origin-Embedder-Policy: require-corp

বা

Cross-Origin-Opener-Policy: restrict-properties
Cross-Origin-Embedder-Policy: credentialless

COEP: credentialless ব্যবহার করে CORP শিরোনাম ছাড়া ক্রস-অরিজিন রিসোর্স লোড করুন-এ COEP: credentialless সম্পর্কে আরও জানুন।

ডেমো

এই ক্রস-অরিজিন আইসোলেশন ডেমোতে বিভিন্ন হেডার বিকল্প ব্যবহার করে দেখুন।

উৎপত্তি ট্রায়াল সঙ্গে পরীক্ষা

Cross-Origin-Opener-Policy: restrict-properties নিয়ে পরীক্ষা করতে, অরিজিন ট্রায়াল বেছে নিন।

ব্রাউজার সমর্থন

Cross-Origin-Opener-Policy: restrict-properties বর্তমানে শুধুমাত্র Chrome-এ সমর্থিত। অন্যান্য ব্রাউজার সক্রিয়ভাবে প্রমিতকরণের জন্য আলোচনায় নিযুক্ত রয়েছে।

FAQ

আমার ওয়েবসাইটকে একই-অরিজিন পপআপের সাথে যোগাযোগ করতে হবে, আমি কি ক্রস-অরিজিন আইসোলেশন সক্ষম করতে COOP: restrict-properties ব্যবহার করব?

COOP: restrict-properties সীমাবদ্ধতা সৃষ্টি করবে না। এটি শুধুমাত্র পপআপে বা শুধুমাত্র প্রধান পৃষ্ঠায় সেট করা postMessage ছাড়া অন্য কোনো বৈশিষ্ট্যে অ্যাক্সেসকে বাধা দেবে এবং পুরো ওপেনার জুড়ে closed , এমনকি যদি সেগুলি একই-অরিজিন হয়।

অনুমোদিত বৈশিষ্ট্য সেট স্থির?

এখনও অবধি প্রতিক্রিয়ার উপর ভিত্তি করে, window.postMessage এবং window.closed বেশিরভাগ কর্মপ্রবাহের জন্য যথেষ্ট বলে সন্দেহ করা হচ্ছে, কিন্তু আমরা এখনও এটিকে অন্যান্য বৈশিষ্ট্যগুলিতে খোলার কথা বিবেচনা করছি। আপনার যদি এমন একটি ব্যবহারের ক্ষেত্রে থাকে যা শুধুমাত্র postMessage ব্যবহার করে সমাধান করা যায় না এবং closed তাহলে Intent to Experiment থ্রেডে আপনার প্রতিক্রিয়া জানান।

সম্পদ

• COOP এবং COEP ব্যবহার করে আপনার ওয়েবসাইটকে "ক্রস-অরিজিন আইসোলেটেড" করা
• শক্তিশালী বৈশিষ্ট্যের জন্য কেন আপনার "ক্রস-অরিজিন আইসোলেটেড" প্রয়োজন
• ক্রস-অরিজিন আইসোলেশন সক্ষম করার জন্য একটি গাইড
• Android Chrome 88 এবং Desktop Chrome 92-এ SharedArrayBuffer আপডেট
• COEP: credentialless - Chrome বিকাশকারী
• বেনামী iframe অরিজিন ট্রায়াল: COEP পরিবেশে সহজেই iframes এম্বেড করুন - Chrome বিকাশকারী