Deze pagina is vertaald door de Cloud Translation API.

SharedArrayBuffer-updates in Android Chrome 88 en Desktop Chrome 92

Jake Archibald

Eiji Kitamura

Opmerking:
Update, januari 2024
Om meer tijd te krijgen om op betrouwbare wijze de vereiste om cross-origin-isolatie in te schakelen, te versoepelen, wordt de beëindigingsproef van SharedArrayBuffer op desktop [verlengd tot Chrome 124](/blog/shared-array-buffer-origin-trial-extension-124).

Het is eerlijk om te zeggen dat SharedArrayBuffer een wat moeilijke landing op het internet heeft gehad, maar de zaken zijn aan het kalmeren. Dit is wat u moet weten:

In het kort

SharedArrayBuffer wordt momenteel ondersteund in Firefox 79+ en zal verschijnen in Android Chrome 88. Het is echter alleen beschikbaar voor pagina's die cross-origin geïsoleerd zijn.
SharedArrayBuffer is momenteel beschikbaar in Desktop Chrome, maar vanaf Chrome 92 zal dit beperkt zijn tot geïsoleerde cross-origin-pagina's. Als u denkt dat u deze wijziging niet op tijd kunt doorvoeren, kunt u zich aanmelden voor een origin-proefperiode om het huidige gedrag te behouden tot minimaal Chrome 113.
Als u van plan bent cross-origin-isolatie in te schakelen om SharedArrayBuffer te blijven gebruiken, evalueer dan de impact die dit zal hebben op andere cross-origin-elementen op uw website, zoals advertentieplaatsingen. Controleer of SharedArrayBuffer wordt gebruikt door een van uw externe bronnen om de impact en begeleiding te begrijpen.

Overzicht van cross-originele isolatie

U kunt een pagina cross-origineel isoleren door de pagina met deze headers weer te geven:

Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin

Zodra u dit doet, kan uw pagina geen cross-origin-inhoud laden, tenzij de bron dit expliciet toestaat via een Cross-Origin-Resource-Policy header of CORS- headers ( Access-Control-Allow-* enzovoort).

Er is ook een rapportage-API , zodat u gegevens kunt verzamelen over verzoeken die zijn mislukt als gevolg van Cross-Origin-Embedder-Policy en Cross-Origin-Opener-Policy .

Als u denkt dat u deze wijzigingen niet op tijd kunt doorvoeren voor Chrome 92, kunt u zich registreren voor een origin-proefperiode om het huidige desktop-Chrome-gedrag te behouden tot ten minste Chrome 113.

Let op: Update, december 2021
We hebben manieren onderzocht om Cross-Origin-Resource-Policy op schaal te implementeren, omdat cross-origin-isolatie vereist dat alle subbronnen zich expliciet aanmelden. En we zijn op het idee gekomen om de tegenovergestelde richting op te gaan: een nieuwe COEP-modus zonder 'referenties' die het mogelijk maakt bronnen te laden zonder de CORP-header door al hun inloggegevens te verwijderen. We hopen dat dit uw last zal verlichten door ervoor te zorgen dat de subresources de header Cross-Origin-Resource-Policy verzenden.
Hoewel credentialless modus beschikbaar is in Chrome vanaf versie 96, wordt deze nog niet door andere browsers ondersteund. Dit kan ertoe leiden dat sommige ontwikkelaars het in dit stadium lastig vinden om COOP of COEP te implementeren.
Het is ook bekend dat de Cross-Origin-Opener-Policy: same-origin header integraties verbreekt die cross-origin-vensterinteracties vereisen, zoals OAuth en betalingen. Om dit probleem te verhelpen onderzoeken we de voorwaarde om cross-origin-isolatie mogelijk te maken naar Cross-Origin-Opener-Policy: same-origin-allow-popups . Op deze manier is de communicatie met het zelf geopende raam mogelijk.
Als u cross-origin-isolatie wilt inschakelen om SharedArrayBuffer te gebruiken, maar door deze uitdagingen wordt geblokkeerd, raden we u aan u te registreren voor een origin-proefversie en te wachten tot de nieuwe modi beschikbaar zijn. We zijn niet van plan de Origin-proef te beëindigen totdat deze nieuwe modi beschikbaar zijn.

Bekijk het gedeelte Verder lezen onderaan deze pagina voor meer richtlijnen en informatie over cross-origin isolatie.

Hoe zijn we hier gekomen?

SharedArrayBuffer arriveerde in Chrome 60 (dat is juli 2017, voor degenen onder u die tijd in datums zien in plaats van in Chrome-versies), en alles was geweldig. Voor 6 maanden.

In januari 2018 werd een kwetsbaarheid onthuld in enkele populaire CPU's. Zie de aankondiging voor alle details, maar het betekende in wezen dat code timers met hoge resolutie kon gebruiken om geheugen te lezen waartoe het geen toegang zou moeten hebben.

Dit was een probleem voor ons, browserleveranciers, omdat we sites code willen laten uitvoeren in de vorm van JavaScript en WASM, maar strikt willen controleren tot welk geheugen deze code toegang heeft. Als u op mijn website terechtkomt, zou ik niets kunnen lezen van de internetbankiersite die u ook geopend heeft. Sterker nog, ik zou niet eens moeten weten dat u uw site voor internetbankieren open heeft. Dit zijn de basisprincipes van webbeveiliging.

Om dit te verhelpen, hebben we de resolutie van onze timers met hoge resolutie, zoals performance.now() , verlaagd. U kunt echter met SharedArrayBuffer een timer met hoge resolutie maken door het geheugen in een strakke lus in een worker aan te passen en het in een andere thread terug te lezen. Dit kon niet effectief worden verholpen zonder een grote impact te hebben op goedbedoelde code, dus werd SharedArrayBuffer helemaal uitgeschakeld.

Een algemene oplossing is om ervoor te zorgen dat het systeemproces van een webpagina geen gevoelige gegevens van elders bevat. Chrome had vanaf het begin geïnvesteerd in een architectuur met meerdere processen ( herinner je de strip nog? ), maar er waren nog steeds gevallen waarin gegevens van meerdere sites in hetzelfde proces terecht konden komen:

<iframe src="https://your-bank.example/balance.json"></iframe>
<script src="https://your-bank.example/balance.json"></script>
<link rel="stylesheet" href="https://your-bank.example/balance.json" />
<img src="https://your-bank.example/balance.json" />
<video src="https://your-bank.example/balance.json"></video>
<!-- …and more… -->

Deze API's hebben een 'verouderd' gedrag waardoor inhoud van andere oorsprong kan worden gebruikt zonder aanmelding van de andere oorsprong. Deze verzoeken worden gedaan met de cookies van de andere oorsprong, het is dus een volledig 'ingelogd' verzoek. Tegenwoordig vereisen nieuwe API's dat de andere oorsprong zich aanmeldt met behulp van CORS .

We hebben deze verouderde API's omzeild door te voorkomen dat inhoud het proces van de webpagina binnendringt als deze er 'onjuist' uitziet, en noemden dit cross-origin leesblokkering . In de bovenstaande gevallen zouden we dus niet toestaan dat JSON deelneemt aan het proces, omdat het voor geen van deze API's een geldig formaat is. Dat wil zeggen, behalve iframes. Voor iframes plaatsen we de inhoud in een ander proces.

Nu deze maatregelen van kracht zijn, hebben we SharedArrayBuffer opnieuw geïntroduceerd in Chrome 68 (juli 2018), maar alleen op desktops. Door de extra procesvereisten konden we niet hetzelfde doen op mobiele apparaten. Er werd ook opgemerkt dat de oplossing van Chrome onvolledig was, omdat we alleen 'onjuiste' gegevensformaten blokkeerden, terwijl het mogelijk is (hoewel ongebruikelijk) dat geldige CSS/JS/afbeeldingen op te raden URL's privégegevens kunnen bevatten.

Mensen op het gebied van webstandaarden kwamen samen om een completere cross-browser oplossing te bedenken. De oplossing was om pagina's een manier te geven om te zeggen: "Ik doe hierbij afstand van mijn vermogen om inhoud van andere oorsprong in dit proces te brengen zonder hun toestemming". Deze aangifte wordt gedaan via COOP- en COEP-headers die bij de pagina worden geleverd. De browser dwingt dat af, en in ruil daarvoor krijgt de pagina toegang tot SharedArrayBuffer en andere API's met vergelijkbare bevoegdheden. Andere oorsprongen kunnen zich aanmelden voor het insluiten van inhoud via Cross-Origin-Resource-Policy of CORS .

Firefox was de eerste die SharedArrayBuffer met deze beperking uitbracht, in versie 79 (juli 2020).

Vervolgens schreef ik in januari 2021 dit artikel, en jij leest het. Hallo.

En dat is waar we nu zijn. Chrome 88 brengt SharedArrayBuffer terug naar Android voor pagina's die cross-origin geïsoleerd zijn, en Chrome 92 brengt dezelfde vereisten naar desktop, zowel voor consistentie als om totale cross-origin isolatie te bereiken.

De wijziging van Desktop Chrome uitstellen

Dit is een tijdelijke uitzondering in de vorm van een 'origin-proef' die mensen meer tijd geeft om geïsoleerde cross-origin-pagina's te implementeren. Het maakt SharedArrayBuffer mogelijk zonder dat de pagina cross-origin geïsoleerd hoeft te zijn. De uitzondering vervalt in Chrome 113 en de uitzondering is alleen van toepassing op Desktop Chrome.

Vraag een token aan voor uw herkomst.
Voeg het token toe aan uw pagina's. Er zijn twee manieren om dat te doen:
- Voeg een origin-trial <meta> -tag toe aan de kop van elke pagina. Dit kan er bijvoorbeeld ongeveer zo uitzien:
  <meta http-equiv="origin-trial" content="TOKEN_GOES_HERE">
- Als u uw server kunt configureren, kunt u het token ook toevoegen met behulp van een Origin-Trial HTTP-header. De resulterende antwoordheader zou er ongeveer zo uit moeten zien:
  Origin-Trial: TOKEN_GOES_HERE

Verder lezen

Bannerfoto door Daniel Gregoire op Unsplash