"सेम-साइट" और "समान-ऑरिजिन"

Eiji Kitamura

"सेम-साइट" और "एक ही ऑरिजिन" के बारे में अक्सर बताया जाता है, लेकिन अक्सर इनका गलत मतलब निकाला जाता है. उदाहरण के लिए, इनका इस्तेमाल पेज ट्रांज़िशन, fetch() अनुरोध, कुकी, पॉप-अप खोलने, एम्बेड किए गए रिसॉर्स, और iframe के लिए किया जाता है. इस पेज पर बताया गया है कि वे क्या हैं और वे एक-दूसरे से किस तरह अलग हैं.

शुरुआत की जगह

"ऑरिजिन", एक स्कीम (जिसे प्रोटोकॉल भी कहा जाता है, जैसे कि एचटीटीपी या एचटीटीपीएस), एक होस्टनेम, और एक पोर्ट (अगर इसकी जानकारी दी गई हो) का कॉम्बिनेशन है. उदाहरण के लिए, https://www.example.com:443/foo का यूआरएल दिया गया है, तो "ऑरिजिन" https://www.example.com:443 है.

"सेम-ऑरिजिन" और "क्रॉस-ऑरिजिन"

जिन वेबसाइटों में स्कीम, होस्टनेम, और पोर्ट का एक जैसा कॉम्बिनेशन होता है उन्हें "एक ही-ऑरिजिन" माना जाता है. बाकी सब कुछ "क्रॉस-ऑरिजिन" माना जाता है.

साइट

.com और .org जैसे टॉप लेवल डोमेन (टीएलडी) रूट ज़ोन डेटाबेस में शामिल हैं. पिछले
उदाहरण में, "site" स्कीम, टीएलडी, और डोमेन के ठीक पहले के हिस्से का मिला-जुला रूप है (हम इसे TLD+1 कहते हैं). उदाहरण के लिए, https://www.example.com:443/foo यूआरएल में "साइट", https://example.com है.

सार्वजनिक सफ़िक्स सूची और ईटीएलडी

.co.jp या .github.io जैसे एलिमेंट वाले डोमेन के लिए, "साइट" की पहचान करने के लिए, .jp या .io का इस्तेमाल करना काफ़ी नहीं है. किसी खास टीएलडी के लिए, रजिस्टर किए जा सकने वाले डोमेन का लेवल, एल्गोरिदम के हिसाब से तय करने का कोई तरीका नहीं है. इस काम में मदद के लिए, पब्लिक सफ़िक्स सूची में पब्लिक सफ़िक्स की एक सूची दी गई है. इन्हें असरदार टीएलडी (ईटीएलडी) भी कहा जाता है. ईटीएलडी की सूची publicsuffix.org/list पर मैनेज की जाती है.

जिस डोमेन में ई-टीएलडी शामिल है उसके "साइट" वाले हिस्से की पहचान करने के लिए, .com वाले उदाहरण जैसा ही लागू करें. https://www.project.github.io:443/foo का उदाहरण लेते हैं, स्कीम https है, eTLD .github.io है, eTLD+1 project.github.io है, इसलिए https://project.github.io को इस यूआरएल के लिए "साइट" माना गया है.

"एक ही साइट" और "क्रॉस-साइट"

एक जैसी स्कीम और एक ही eTLD+1 वाली वेबसाइटों को "एक ही साइट" माना जाता है. अलग स्कीम या अलग eTLD+1 वाली वेबसाइटें, "क्रॉस-साइट" होती हैं.

"एक ही साइट के बिना स्कीम"

एचटीटीपी को एक कमज़ोर चैनल के तौर पर इस्तेमाल किए जाने से रोकने के लिए, "उसी साइट" की परिभाषा में बदलाव किया गया, ताकि यूआरएल स्कीम को साइट के हिस्से के तौर पर शामिल किया जा सके. स्कीम की तुलना के बिना "एक ही साइट" के पुराने सिद्धांत को अब "बिना स्कीम वाली समान साइट" कहा जाता है. उदाहरण के लिए, http://www.example.com और https://www.example.com को एक ही साइट के बिना स्कीम वाली साइट माना जाता है, लेकिन समान साइट नहीं, क्योंकि सिर्फ़ eTLD+1 वाला हिस्सा मायने रखता है और स्कीम पर ध्यान नहीं दिया जाता.

यह कैसे पता करें कि अनुरोध "एक ही साइट", "एक ही-शुरुआत" या "क्रॉस-साइट" है या नहीं

सभी मॉडर्न ब्राउज़र, Sec-Fetch-Site एचटीटीपी हेडर के साथ अनुरोध भेजते हैं. इस हेडर में इनमें से कोई एक वैल्यू होती है:

• cross-site
• same-site (एक ही साइट के स्कीम वाले प्लान का मतलब है)
• same-origin
• none

Sec-Fetch-Site की वैल्यू की जांच करके, यह पता लगाया जा सकता है कि अनुरोध एक ही साइट का है, उसका मूल अनुरोध एक ही साइट का है या क्रॉस-साइट का.

आपको Sec-Fetch-Site हेडर की वैल्यू पर सही तरीके से भरोसा करना चाहिए, क्योंकि:

• Sec- से शुरू होने वाले एचटीटीपी हेडर में JavaScript बदलाव नहीं कर सकता
• ब्राउज़र इन हेडिंग को हमेशा सेट करता है.