Si tu sitio web se basa en la configuración de document.domain
, debes realizar una acción.
Actualizaciones
- 30 de mayo de 2023: anunciamos que la baja del método set
document.domain
entrará en vigencia en Chrome 115. - 7 de abril de 2023: Identificamos un problema antes de enviar este cambio en Chrome 112. Por el momento, el método set
document.domain
que se quitará de forma predeterminada está suspendido, y aún no se determinó el nuevo evento importante de envío. Vuelve a consultar esta entrada de blog o suscríbete a blink-dev y a esta conversación. - 20 de enero de 2023: Cronograma actualizado: El método set
document.domain
se quitará de forma predeterminada a partir de Chrome 112. Además, se agrega una mención sobre la política empresarial para controlar el comportamientodocument.domain
. - 25 de julio de 2022: Cronograma actualizado (el método set
document.domain
se quitará de forma predeterminada a partir de Chrome 109) - 4 de febrero de 2022: Se actualizó con el nuevo cronograma. Mostraremos una advertencia en el panel Problemas a partir de Chrome 100 y quitaremos el método set
document.domain
de forma predeterminada a partir de Chrome 106.
document.domain
se diseñó para obtener o establecer el nombre de host del origen.
En Chrome, los sitios web no podrán configurar document.domain
. Deberás
usar enfoques alternativos, como postMessage()
o la API de Channel Messaging, para comunicar orígenes cruzados. Nuestro objetivo es Chrome 112 para enviar este cambio lo antes posible, pero esto depende de la respuesta a Intent de envío.
Si tu sitio web se basa en la relajación de las políticas de mismo origen a través de document.domain
para funcionar correctamente, el sitio deberá enviar un encabezado Origin-Agent-Cluster: ?0
, al igual que todos los demás documentos que requieren ese comportamiento (ten en cuenta que
document.domain
no tiene efecto si solo lo configura un documento).
¿Por qué hacer que document.domain
sea inmutable?
Muchos sitios web configuran document.domain
para permitir la comunicación entre páginas del mismo sitio, pero de origen cruzado.
Se usa de la siguiente manera:
Supongamos que una página en https://parent.example.com
incorpora una página de iframe desde https://video.example.com
. Estas páginas tienen el mismo eTLD+1 (example.com
) con diferentes subdominios. Cuando el document.domain
de ambas páginas se establece en 'example.com'
, el navegador trata a los dos orígenes como si fueran del mismo origen.
Establece el document.domain
para https://parent.example.com
:
// Confirm the current origin of "parent.example.com"
console.log(document.domain);
// Set the document.domain
document.domain = 'example.com';
console.log(document.domain);
Establece el document.domain
para https://video.example.com
:
// Confirm the current origin of "video.example.com"
console.log(document.domain);
// Set the document.domain
document.domain = 'example.com';
console.log(document.domain);
Ahora puedes crear una manipulación del DOM de origen cruzado en https://parent.example.com
en https://video.example.com
.
Los sitios web configuran document.domain
para que los documentos del mismo sitio se comuniquen con mayor facilidad. Debido a que este cambio flexibiliza la política del mismo origen, la página superior puede acceder al documento del iframe y recorrer el árbol del DOM, y viceversa.
Esta es una técnica conveniente, pero presenta un riesgo de seguridad.
Problemas de seguridad con document.domain
Las inquietudes sobre la seguridad en torno a document.domain
provocaron un cambio en la especificación que advierte a los usuarios que eviten usarlo.
La discusión actual con otros proveedores de navegadores avanza en la misma dirección.
Por ejemplo, cuando dos páginas establecen el valor document.domain
, pueden simular como si fueran del mismo origen. Esto es particularmente importante cuando estas páginas usan un servicio de hosting compartido con diferentes subdominios. Si configuras document.domain
, se abrirá el acceso a todos los demás sitios alojados por ese mismo servicio, lo que facilita el acceso de los atacantes a los sitios. Esto es posible porque document.domain
ignora la parte del número de puerto del dominio.
Para obtener más información sobre las implicaciones de seguridad de la configuración de document.domain
, consulta la página"Document.domain" en MDN.
Chrome planea hacer que document.domain
sea inmutable en Chrome 112.
¿Cómo puedo saber si mi sitio se verá afectado?
Si este cambio afecta tu sitio web, Chrome te mostrará una advertencia en el panel Problemas de Herramientas para desarrolladores. Observa la bandera amarilla en la esquina superior derecha.
Si tienes configurado un extremo de informes, también se te enviarán informes de baja. Obtén más información sobre cómo usar la API de Reporting con servicios de recopilación de informes existentes o mediante la compilación de tu propia solución interna.
Puedes ejecutar tu sitio mediante la auditoría de API obsoleta de Lighthouse para encontrar todas las APIs que están programadas para quitarse de Chrome.
Comunicación alternativa de origen cruzado
En este momento, tienes tres opciones para reemplazar document.domain
en tu sitio web.
Usa postMessage()
o la API de Channel Messaging
En la mayoría de los casos de uso, postMessage()
o la API de Channel Messaging
de origen cruzado
pueden reemplazar a document.domain
.
En el siguiente ejemplo:
https://parent.example.com
solicitahttps://video.example.com
dentro de un iframe para manipular el DOM enviando un mensaje a través depostMessage()
.https://video.example.com
manipula el DOM en cuanto recibe el mensaje y notifica el éxito al elemento superior.https://parent.example.com
reconoce el éxito.
En https://parent.example.com
:
// Send a message to https://video.example.com
iframe.postMessage('Request DOM manipulation', 'https://video.example.com');
// Receive messages
iframe.addEventListener('message', (event) => {
// Reject all messages except ones from https://video.example.com
if (event.origin !== 'https://video.example.com') return;
// Filter success messages
if (event.data === 'succeeded') {
// DOM manipulation is succeeded
}
});
En https://video.example.com
:
// Receive messages
window.addEventListener('message', (event) => {
// Reject all messages except ones from https://parent.example.com
if (event.origin !== 'https://parent.example.com') return;
// Do a DOM manipulation on https://video.example.com.
// Send a success message to https://parent.example.com
event.source.postMessage('succeeded', event.origin);
});
Pruébala y mira cómo funciona. Si tienes requisitos específicos que no funcionan con postMessage()
ni la API de Channel Messaging, avísanos en Twitter a través de @ChromiumDev o pregunta en Stack Overflow con una etiqueta document.domain
.
Como último recurso, envía el encabezado Origin-Agent-Cluster: ?0
.
Si tienes motivos sólidos para continuar configurando document.domain
, puedes enviar el encabezado de respuesta Origin-Agent-Cluster: ?0
junto con el documento de destino.
Origin-Agent-Cluster: ?0
El encabezado Origin-Agent-Cluster
indica al navegador si el clúster de agentes con clave de origen debe manejar el documento o no. Para obtener más información sobre Origin-Agent-Cluster
, consulta Solicita aislamiento de rendimiento con el encabezado Origin-Agent-Cluster
.
Cuando envías este encabezado, tu documento puede seguir configurando document.domain
,
incluso después de que se vuelva inmutable de forma predeterminada.
Configura OriginAgentClusterDefaultEnabled
para la política empresarial
De manera opcional, el administrador puede configurar la política OriginAgentClusterDefaultEnabled
en false
para que document.domain
se pueda configurar de forma predeterminada en las instancias de Chrome
de la organización. Para obtener más información, consulta Administración y lista de políticas de Chrome Enterprise | Documentación.
Compatibilidad del navegador
- La especificación de origen indica que se debe quitar el componente.
- Mozilla considera que, de forma predeterminada, inhabilitar
document.domain
vale la pena crear un prototipo. - WebKit indicó que tiene una actitud moderadamente positiva sobre la baja del método set
document.domain
.
Recursos
Document.domain
- APIs web | MDN- Aislamiento de origen y dar de baja
document.domain
- Se dará de baja
document.domain
. · Problema #564 · w3ctag/design-reviews
Agradecimientos
Foto de Braydon Anderson en Unsplash