Gunakan COOP dan COEP untuk menyiapkan lingkungan terisolasi lintas origin dan mengaktifkan fitur canggih seperti SharedArrayBuffer, performance.measureUserAgentSpecificMemory(), dan timer resolusi tinggi dengan presisi yang lebih baik.
Info Terbaru
- 21 Juni 2022: Skrip pekerja juga perlu diperhatikan saat isolasi lintas origin diaktifkan. Beberapa penjelasan telah ditambahkan.
- 5 Agustus 2021: JS Self-Profiling API telah disebutkan sebagai salah satu API yang memerlukan isolasi lintas asal, tetapi mencerminkan perubahan arah terbaru, API tersebut akan dihapus.
- 6 Mei 2021: Berdasarkan masukan dan masalah yang dilaporkan, kami memutuskan untuk menyesuaikan
linimasa penggunaan
SharedArrayBufferdi semua situs terisolasi lintas origin yang tidak dibatasi di Chrome M92. - 16 April 2021: Menambahkan catatan tentang mode baru tanpa kredensial COEP dan COOP yang sama dengan origin-allow-popup untuk menjadi kondisi longgar untuk isolasi lintas asal.
- 5 Maret 2021: Menghapus batasan untuk fungsi
SharedArrayBuffer,performance.measureUserAgentSpecificMemory(), dan proses debug, yang kini sepenuhnya diaktifkan di Chrome 89. Menambahkan kemampuan mendatang,performance.now()danperformance.timeOrigin, yang akan memiliki presisi yang lebih tinggi. - 19 Februari 2021: Menambahkan catatan tentang kebijakan fitur
allow="cross-origin-isolated"dan fungsi proses debug di DevTools. - 15 Oktober 2020:
self.crossOriginIsolatedtersedia mulai Chrome 87. Mencerminkan hal tersebut,document.domaintidak dapat diubah saatself.crossOriginIsolatedmenampilkantrue.performance.measureUserAgentSpecificMemory()mengakhiri uji coba origin-nya dan diaktifkan secara default di Chrome 89. Shared Array Buffer di Chrome Android akan tersedia mulai Chrome 88.
Beberapa API web meningkatkan risiko serangan side-channel seperti Spectre. Untuk memitigasi risiko tersebut, browser menawarkan lingkungan terisolasi berbasis keikutsertaan yang disebut isolasi lintas-asal. Dengan status terisolasi lintas asal, halaman web akan dapat menggunakan fitur dengan hak istimewa yang mencakup:
| API | Deskripsi |
|---|---|
SharedArrayBuffer
|
Wajib untuk thread WebAssembly. Fitur ini tersedia mulai Android Chrome 88. Versi desktop saat ini diaktifkan secara default dengan bantuan Isolasi Situs, tetapi akan memerlukan status isolasi lintas asal dan akan dinonaktifkan secara default di Chrome 92. |
performance.measureUserAgentSpecificMemory()
|
Tersedia dari Chrome 89. |
performance.now(), performance.timeOrigin
|
Saat ini tersedia di banyak browser dengan resolusi yang dibatasi hingga 100 mikrodetik atau lebih tinggi. Dengan isolasi lintas asal, resolusinya dapat mencapai 5 mikrodetik atau lebih tinggi. |
Status terisolasi lintas origin juga mencegah modifikasi
document.domain. (Kemampuan untuk mengubah document.domain memungkinkan komunikasi
antara dokumen situs yang sama dan telah dianggap sebagai celah dalam
kebijakan origin yang sama.)
Untuk memilih ikut serta dalam status terisolasi lintas origin, Anda perlu mengirim header HTTP berikut di dokumen utama:
Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin
Header ini menginstruksikan browser untuk memblokir pemuatan resource atau iframe yang belum memilih untuk dimuat oleh dokumen lintas origin, dan mencegah jendela lintas origin berinteraksi langsung dengan dokumen Anda. Hal ini juga berarti resource yang dimuat lintas-asal memerlukan keikutsertaan.
Anda dapat menentukan apakah halaman web berada dalam status terisolasi lintas origin dengan memeriksa self.crossOriginIsolated.
Artikel ini menunjukkan cara menggunakan header baru ini. Dalam artikel berikutnya, saya akan memberikan lebih banyak latar belakang dan konteks.
Men-deploy COOP dan COEP untuk membuat situs Anda terisolasi lintas origin
Mengintegrasikan COOP dan COEP
1. Tetapkan header Cross-Origin-Opener-Policy: same-origin di dokumen tingkat atas
Dengan mengaktifkan COOP: same-origin di dokumen tingkat atas, jendela dengan asal dan jendela yang sama yang dibuka dari dokumen, akan memiliki grup konteks penjelajahan terpisah kecuali jika jendela tersebut memiliki asal yang sama dengan setelan COOP yang sama.
Dengan demikian, isolasi diterapkan untuk jendela yang terbuka dan komunikasi timbal balik antara
kedua jendela dinonaktifkan.
Grup konteks penjelajahan adalah serangkaian jendela yang dapat saling merujuk. Misalnya, dokumen tingkat atas dan dokumen turunannya yang disematkan melalui <iframe>.
Jika situs (https://a.example) membuka jendela pop-up (https://b.example),
jendela pembuka dan jendela pop-up memiliki konteks penjelajahan yang sama, sehingga
keduanya memiliki akses satu sama lain melalui DOM API seperti window.opener.
Anda dapat memeriksa apakah pembuka jendela dan pembukanya berada dalam grup konteks penjelajahan terpisah dari DevTools.
2. Memastikan resource telah mengaktifkan CORP atau CORS
Pastikan semua resource di halaman dimuat dengan header HTTP CORP atau CORS. Langkah ini diperlukan untuk langkah keempat, mengaktifkan COEP.
Berikut adalah hal yang perlu Anda lakukan bergantung pada sifat resource:
- Jika resource diharapkan dimuat hanya dari origin yang sama, tetapkan
header
Cross-Origin-Resource-Policy: same-origin. - Jika resource diharapkan dimuat hanya dari situs yang sama, tetapi lintas
asal, tetapkan header
Cross-Origin-Resource-Policy: same-site. - Jika resource dimuat dari lintas origin yang berada di bawah kontrol Anda, tetapkan
header
Cross-Origin-Resource-Policy: cross-originjika memungkinkan. - Untuk resource lintas origin yang tidak dapat Anda kontrol:
- Gunakan atribut
crossorigindi tag HTML pemuatan jika resource ditayangkan dengan CORS. (Misalnya,<img src="***" crossorigin>.) - Minta pemilik resource untuk mendukung CORS atau CORP.
- Gunakan atribut
- Untuk iframe, ikuti prinsip yang sama di atas dan tetapkan
Cross-Origin-Resource-Policy: cross-origin(atausame-site,same-originbergantung pada konteks). - Skrip yang dimuat dengan
WebWorkerharus disalurkan dari origin yang sama, sehingga Anda tidak memerlukan header CORP atau CORS. - Untuk dokumen atau pekerja yang ditayangkan dengan
COEP: require-corp, subresource lintas origin yang dimuat tanpa CORS harus menetapkan headerCross-Origin-Resource-Policy: cross-originuntuk memilih untuk disematkan. Misalnya, ini berlaku untuk<script>,importScripts,<link>,<video>,<iframe>, dll.
3. Menggunakan header HTTP Khusus Laporan COEP untuk menilai resource tersemat
Sebelum mengaktifkan COEP sepenuhnya, Anda dapat melakukan uji coba dengan menggunakan header Cross-Origin-Embedder-Policy-Report-Only untuk memeriksa apakah kebijakan tersebut benar-benar berfungsi. Anda akan menerima laporan tanpa memblokir konten yang disematkan.
Terapkan ini secara rekursif ke semua dokumen termasuk dokumen tingkat atas, iframe, dan skrip worker. Untuk mengetahui informasi tentang header HTTP Khusus Laporan, lihat Mengamati masalah menggunakan Reporting API.
4. Aktifkan COEP
Setelah Anda mengonfirmasi bahwa semuanya berfungsi, dan semua resource dapat
dimuat dengan sukses, alihkan header Cross-Origin-Embedder-Policy-Report-Only
ke header Cross-Origin-Embedder-Policy dengan nilai yang sama ke semua
dokumen, termasuk yang disematkan melalui iframe dan skrip pekerja.
Menentukan apakah isolasi berhasil dengan self.crossOriginIsolated
Properti self.crossOriginIsolated menampilkan true saat halaman web berada dalam
status terisolasi lintas origin dan semua resource dan jendela diisolasi dalam
grup konteks penjelajahan yang sama. Anda dapat menggunakan API ini untuk menentukan apakah Anda
telah berhasil mengisolasi grup konteks penjelajahan dan memperoleh akses ke
fitur canggih seperti performance.measureUserAgentSpecificMemory().
Men-debug masalah menggunakan Chrome DevTools
Untuk resource yang dirender di layar seperti gambar, cukup mudah
untuk mendeteksi masalah COEP karena permintaan akan diblokir dan halaman akan
menunjukkan gambar yang hilang. Namun, untuk resource yang tidak
harus memiliki dampak visual, seperti skrip atau gaya, masalah COEP mungkin
tidak diperhatikan. Untuk setelan tersebut, gunakan panel Jaringan DevTools. Jika
ada masalah dengan COEP, Anda akan melihat
(blocked:NotSameOriginAfterDefaultedToSameOriginByCoep) di kolom
Status.
Selanjutnya, Anda dapat mengklik entri tersebut untuk melihat detail selengkapnya.
Anda juga dapat menentukan status iframe dan jendela pop-up melalui panel Aplikasi. Buka bagian "Frame" di sisi kiri dan luaskan ke "atas" untuk melihat perincian struktur resource.
Anda dapat memeriksa status iframe seperti ketersediaan SharedArrayBuffer,
dll.
Anda juga dapat memeriksa status jendela pop-up seperti apakah jendela pop-up terisolasi lintas asal.
Mengamati masalah menggunakan Reporting API
Reporting API adalah mekanisme lain yang dapat digunakan untuk mendeteksi berbagai masalah. Anda dapat mengonfigurasi Reporting API untuk menginstruksikan browser pengguna untuk mengirim laporan setiap kali COEP memblokir pemuatan resource atau COOP mengisolasi jendela pop-up. Chrome telah mendukung Reporting API sejak versi 69 untuk berbagai penggunaan, termasuk COEP dan COOP.
Untuk mempelajari cara mengonfigurasi Reporting API dan menyiapkan server untuk menerima laporan, buka Menggunakan Reporting API.
Contoh laporan COEP
Contoh payload laporan COEP saat resource lintas origin diblokir akan terlihat seperti ini:
[{
"age": 25101,
"body": {
"blocked-url": "https://third-party-test.glitch.me/check.svg?",
"blockedURL": "https://third-party-test.glitch.me/check.svg?",
"destination": "image",
"disposition": "enforce",
"type": "corp"
},
"type": "coep",
"url": "https://cross-origin-isolation.glitch.me/?coep=require-corp&coop=same-origin&",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4249.0 Safari/537.36"
}]
Contoh laporan COOP
Contoh payload laporan COOP saat jendela pop-up dibuka secara terpisah akan terlihat seperti ini:
[{
"age": 7,
"body": {
"disposition": "enforce",
"effectivePolicy": "same-origin",
"nextResponseURL": "https://third-party-test.glitch.me/popup?report-only&coop=same-origin&",
"type": "navigation-from-response"
},
"type": "coop",
"url": "https://cross-origin-isolation.glitch.me/coop?coop=same-origin&",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4246.0 Safari/537.36"
}]
Saat grup konteks penjelajahan yang berbeda mencoba mengakses satu sama lain (hanya dalam
mode "hanya laporan"), COOP juga akan mengirimkan laporan. Misalnya, laporan saat
postMessage() dicoba akan terlihat seperti ini:
[{
"age": 51785,
"body": {
"columnNumber": 18,
"disposition": "reporting",
"effectivePolicy": "same-origin",
"lineNumber": 83,
"property": "postMessage",
"sourceFile": "https://cross-origin-isolation.glitch.me/popup.js",
"type": "access-from-coop-page-to-openee"
},
"type": "coop",
"url": "https://cross-origin-isolation.glitch.me/coop?report-only&coop=same-origin&",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4246.0 Safari/537.36"
},
{
"age": 51785,
"body": {
"disposition": "reporting",
"effectivePolicy": "same-origin",
"property": "postMessage",
"type": "access-to-coop-page-from-openee"
},
"type": "coop",
"url": "https://cross-origin-isolation.glitch.me/coop?report-only&coop=same-origin&",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4246.0 Safari/537.36"
}]
Kesimpulan
Gunakan kombinasi header HTTP COOP dan COEP untuk mengikutsertakan halaman web ke dalam status terisolasi lintas origin khusus. Anda akan dapat memeriksa
self.crossOriginIsolated untuk menentukan apakah halaman web berada dalam status terisolasi
lintas origin.
Kami akan terus memperbarui postingan ini seiring fitur baru tersedia untuk status terisolasi lintas origin ini, dan peningkatan lebih lanjut dilakukan untuk DevTools seputar COOP dan COEP.