HTTP istekleri User-Agent veya Content-Type gibi üstbilgiler içerir. Android uygulamaları, tarayıcılar tarafından eklenen üstbilgilerin yanı sıra EXTRA_HEADERS Intent ekstrası aracılığıyla çerez veya yönlendiren gibi ek üstbilgiler de ekleyebilir. Chrome, güvenlik nedeniyle bir amacın nasıl ve nerede başlatıldığına bağlı olarak ek üstbilgilerin bazılarını filtreler.
İstemci ve sunucu aynı tarafa ait olmadığından kaynaklar arası istekler ek bir güvenlik katmanı gerektirir. Bu kılavuzda, Chrome özel sekmeleri (ör. tarayıcı sekmesinde URL açan uygulamalardan başlatılan intent'ler) aracılığıyla bu tür isteklerin başlatılması ele alınmaktadır. Geliştiriciler, Chrome 83'e kadar bir Özel Sekme'yi kullanıma sunarken istedikleri başlıkları ekleyebiliyordu. Sürüm 83'ten itibaren Chrome, onaylanmamış başlıklar güvenlik riski oluşturduğundan onaylanan çapraz kaynak başlıkları dışındaki tüm bilgileri filtrelemeye başladı. Chrome 86'dan itibaren, sunucu ve istemci bir dijital öğe bağlantısı kullanılarak ilişkilendirildiğinde, kaynaktan kaynaka isteklere onay listesindeki olmayan üstbilgilerin eklenmesi mümkün hale geldi. Bu davranış aşağıdaki tabloda özetlenmiştir:
| Chrome sürümü | CORS başlıklarına izin verilir |
|---|---|
| Chrome 83'ten önce | approvelisted, non-approvelisted |
| Chrome 83 - Chrome 85 | onay listesinde |
| Chrome 86 ve sonraki sürümler | approvelisted, non-approvelisted when a digital asset link is set up |
Tablo 1: Onaylanmışlar listesinde olmayan CORS başlıklarının filtrelenmesi.
Bu makalede, sunucu ile istemci arasında nasıl doğrulanmış bir bağlantı oluşturulacağı ve bu bağlantının, onaylanmış listede yer alan ve onaylanmış listede yer almayan HTTP üstbilgilerini göndermek için nasıl kullanılacağı gösterilmektedir. Kod için Özel Sekme Amaçlarına Ek Başlık Ekleme bölümüne geçebilirsiniz.
Arka plan
Onaylanmış liste ve onaylanmamış liste CORS istek başlıkları
Kaynaklar Arası Kaynak Paylaşımı (CORS), bir kaynaktaki web uygulamasının farklı bir kaynaktaki kaynakları istemesine olanak tanır. CORS-approvelisted başlıkları listesi HTML Standardı'nda tutulur. Onaylananlar listesindeki örnek başlıklar aşağıdaki tabloda gösterilmektedir:
| Header | Açıklama |
|---|---|
| accept-language | Müşterinin anladığı doğal dillerin reklamını yapıyor |
| content-language | Mevcut kitleye yönelik dili açıklar |
| içerik türü | kaynağın medya türünü belirtir |
Tablo 2: Onaylananlar listesindeki CORS üstbilgilerinin örneği.
Onaylananlar listesindeki başlıklar, hassas kullanıcı bilgileri içermediği ve sunucunun zararlı olabilecek işlemler gerçekleştirmesine neden olma olasılığı düşük olduğu için güvenli kabul edilir.
Onaylanmayan başlık örnekleri aşağıdaki tabloda gösterilmiştir:
| Header | Açıklama |
|---|---|
| bearer-token | İstemcinin kimliğini sunucuda doğrular. |
| kaynak | İsteğin kaynağını belirtir |
| çerez | Sunucu tarafından ayarlanan çerezleri içerir |
Tablo 3: Onaylananlar listesinde bulunmayan CORS başlıkları örneği.
HTML standardı, onay listesindeki olmayan başlıkların CORS isteklerine eklenmesi konusunda uyarıda bulunur ve sunucular, kaynakta farklı olan isteklerin yalnızca onay listesindeki başlıkları içerdiğini varsayar. Kaynaklar arası alanlardan onaylanmışlar listesindeki olmayan üstbilgilerin gönderilmesi, kötü amaçlı üçüncü taraf uygulamalarının Chrome'un (veya başka bir tarayıcının) depoladığı ve isteklere eklediği kullanıcı çerezlerini kötüye kullanan üstbilgiler oluşturmasına olanak tanır. Çerezler, aksi takdirde mümkün olmayan kötü amaçlı sunucu işlemlerinin kimliğini doğrulayabilir.
Özel Sekmeler isteklerine onaylanmış CORS üst bilgileri ekleme
Özel Sekmeler, web sayfalarını özelleştirilmiş bir tarayıcı sekmesinde başlatmanın özel bir yoludur. Özel Sekme intent'leri CustomTabsIntent.Builder() kullanılarak oluşturulabilir. Browser.EXTRA_HEADERS işareti olan bir Bundle kullanarak bu amaçlara başlık da ekleyebilirsiniz:
CustomTabsIntent intent = new CustomTabsIntent.Builder(session).build();
Bundle headers = new Bundle();
headers.putString("bearer-token", "Some token");
headers.putString("redirect-url", "Some redirect url");
intent.intent.putExtra(Browser.EXTRA_HEADERS, headers);
intent.launchUrl(Activity.this, Uri.parse("http://www.google.com"));
Onaylanmışlar listesindeki başlıkları, özel sekme CORS isteklerine her zaman ekleyebiliyoruz. Ancak Chrome, onaylanmayan üstbilgileri varsayılan olarak filtreler. Diğer tarayıcıların davranışı farklı olsa da geliştiricilerin, onaylananlar listesinde olmayan başlıkların genel olarak engellenmesini beklemesi gerekir.
Onaylı olmayan başlıkları özel sekmelere eklemenin desteklenen yolu, öncelikle dijital erişim bağlantısı kullanarak kaynaklar arası bağlantıyı doğrulamaktır. Sonraki bölümde, bunların nasıl ayarlanacağı ve gerekli başlıklarla bir Özel Sekmeler niyetinin nasıl başlatılacağı gösterilmektedir.
Özel Sekme Intent'lerine Ek Üstbilgi Ekleme
Dijital öğe bağlantıları oluşturma
Onay listesindeki olmayan üstbilgilerin Özel Sekme intent'leri üzerinden iletilmesine izin vermek için Android ve web uygulaması arasında, yazarın her iki uygulamanın da sahibi olduğunu doğrulayan bir dijital öğe bağlantısı oluşturmanız gerekir.
Dijital öğe bağlantısı oluşturmak için resmi kılavuzu uygulayın. Bağlantı ilişkisi için "delegate_permission/common.use_as_origin" değerini kullanın. Bu değer, bağlantı doğrulandıktan sonra her iki uygulamanın da aynı kaynağa ait olduğunu gösterir.
Ek Üstbilgilerle Özel Sekme Niyeti Oluşturma
Özel Sekmeler intent'i oluşturmanın birden çok yolu vardır. Kitaplığı derleme bağımlılıklarına ekleyerek androidX'te bulunan oluşturucuyu kullanabilirsiniz:
MULTI_LINE_CODE_PLACEHOLDER_1
Niyeti oluşturun ve ek üstbilgi ekleyin:
MULTI_LINE_CODE_PLACEHOLDER_2
Öğe bağlantısını doğrulamak için özel sekme bağlantısı oluşturma
Özel Sekmeler bağlantısı, uygulama ile Chrome sekmesi arasında CustomTabsSession oluşturmak için kullanılır. Uygulamanın ve web uygulamasının aynı kaynağa ait olduğunu doğrulamak için oturuma ihtiyacımız var.
Doğrulama yalnızca dijital öğe bağlantıları doğru şekilde ayarlanmışsa geçer.
CustomTabsClient.warmup() numaralı telefonu aramanız önerilir. Bu, tarayıcı uygulamasının arka planda ön başlatmasına ve URL açma sürecini hızlandırmasına olanak tanır.
MULTI_LINE_CODE_PLACEHOLDER_3
Doğrulama işleminden sonra intent'i başlatan bir geri çağırma ayarlama
CustomTabsCallback oturuma aktarıldı. onRelationshipValidationResult(), kaynak doğrulaması başarılı olduğunda önceden oluşturulmuş CustomTabsIntent'ı başlatacak şekilde ayarlanır.
MULTI_LINE_CODE_PLACEHOLDER_4
Özel sekmeler hizmet bağlantısını bağlama
Hizmeti bağlamak, hizmeti başlatır ve bağlantının onCustomTabsServiceConnected()süreci sonunda çağrılır. Hizmetin bağlantısını uygun şekilde kaldırmayı unutmayın. Bağlama ve çözme işlemleri genellikle onStart() ve onStop() etkinlik yaşam döngüsü yöntemlerinde yapılır.
// Bind the custom tabs service connection.
// Call this in onStart()
CustomTabsClient.bindCustomTabsService(this,
CustomTabsClient.getPackageName(MainActivity.this, null), connection);
// …
// Unbind the custom tabs service.
// Call this in onStop().
unbindService(connection);
Demo uygulama kodu
Özel Sekmeler Hizmeti hakkında daha fazla bilgiyi burada bulabilirsiniz. Çalışan bir örnek uygulama için android-browser-helper GitHub deposuna bakın.
Özet
Bu kılavuzda, özel sekme CORS isteklerine rastgele başlıkların nasıl ekleneceği gösterilmiştir. Onaylanmış liste başlıkları, her özel sekme CORS isteğine eklenebilir. Onaylananlar listesinde bulunmayan başlıklar genellikle CORS isteklerinde güvenli olarak kabul edilmez ve Chrome bunları varsayılan olarak filtreler. Bu öğelerin eklenmesi yalnızca dijital öğe bağlantısıyla doğrulanmış, aynı kaynaktaki istemciler ve sunucular için izin verilir.