"একই-সাইট" এবং "একই-উৎস"

Eiji Kitamura

"একই-সাইট" এবং "একই-উৎপত্তি" প্রায়শই উল্লেখ করা হয় কিন্তু প্রায়ই ভুল বোঝাবুঝি হয়। উদাহরণস্বরূপ, এগুলি পৃষ্ঠার রূপান্তর, fetch() অনুরোধ, কুকি, খোলার পপআপ, এমবেডেড সংস্থান এবং আইফ্রেমের প্রসঙ্গে ব্যবহৃত হয়। এই পৃষ্ঠাটি ব্যাখ্যা করে যে তারা কী এবং কীভাবে তারা একে অপরের থেকে আলাদা।

উৎপত্তি

"অরিজিন" হল একটি স্কিমের সংমিশ্রণ ( প্রটোকল হিসাবেও পরিচিত, উদাহরণস্বরূপ HTTP বা HTTPS ), একটি হোস্টনাম এবং একটি পোর্ট (যদি নির্দিষ্ট করা হয়)। উদাহরণস্বরূপ, https://www.example.com:443/foo এর একটি URL দেওয়া হয়েছে, "অরিজিন" হল https://www.example.com:443 ।

"একই-অরিজিন" এবং "ক্রস-অরিজিন"

স্কিম, হোস্টনাম এবং পোর্টের একই সমন্বয় রয়েছে এমন ওয়েবসাইটগুলিকে "একই-অরিজিন" হিসাবে বিবেচনা করা হয়। বাকি সবকিছু "ক্রস-অরিজিন" হিসাবে বিবেচিত হয়।

সাইট

টপ-লেভেল ডোমেইন (TLDs) যেমন .com এবং .org রুট জোন ডেটাবেসে তালিকাভুক্ত করা হয়েছে। আগের
উদাহরণ, "সাইট" হল স্কিম , TLD এবং ডোমেনের ঠিক আগের অংশের সংমিশ্রণ (আমরা এটিকে TLD+1 বলি)। উদাহরণস্বরূপ, https://www.example.com:443/foo এর একটি URL দেওয়া হয়েছে, "সাইট" হল https://example.com ।

পাবলিক প্রত্যয় তালিকা এবং eTLD

.co.jp বা .github.io এর মতো উপাদান সহ ডোমেনের জন্য, শুধুমাত্র .jp বা .io ব্যবহার করা "সাইট" সনাক্ত করার জন্য যথেষ্ট নির্দিষ্ট নয়। একটি নির্দিষ্ট TLD এর জন্য নিবন্ধনযোগ্য ডোমেনের স্তর অ্যালগরিদমিকভাবে নির্ধারণ করার কোন উপায় নেই। এতে সাহায্য করার জন্য, পাবলিক সাফিক্স লিস্ট সর্বজনীন প্রত্যয়গুলির একটি তালিকাকে সংজ্ঞায়িত করে, একে কার্যকর TLDs (eTLDs) ও বলা হয়। eTLD-এর তালিকা publicsuffix.org/list- এ রক্ষণাবেক্ষণ করা হয়।

একটি eTLD অন্তর্ভুক্ত একটি ডোমেনের "সাইট" অংশ সনাক্ত করতে, .com এর উদাহরণের মতো একই অনুশীলন প্রয়োগ করুন। উদাহরণ হিসাবে https://www.project.github.io:443/foo নিলে, স্কিমটি হল https , eTLD হল .github.io এবং eTLD+1 হল project.github.io , তাই https://project.github.io এই URL এর জন্য "সাইট" হিসাবে বিবেচিত হয়৷

"একই-সাইট" এবং "ক্রস-সাইট"

যে ওয়েবসাইটগুলিতে একই স্কিম এবং একই eTLD+1 আছে সেগুলিকে "একই-সাইট" হিসাবে বিবেচনা করা হয়। যে ওয়েবসাইটগুলির একটি ভিন্ন স্কিম বা একটি ভিন্ন eTLD+1 আছে সেগুলি হল "ক্রস-সাইট"।

"পরিকল্পিত একই সাইট"

HTTP একটি দুর্বল চ্যানেল হিসাবে ব্যবহার করা প্রতিরোধ করার জন্য সাইটের অংশ হিসাবে URL স্কিম অন্তর্ভুক্ত করতে "একই-সাইট"-এর সংজ্ঞা পরিবর্তন করা হয়েছে। স্কিম তুলনা ছাড়া "একই-সাইট" এর পুরানো ধারণাটিকে এখন "স্কিমহীন একই-সাইট" বলা হয়। উদাহরণস্বরূপ, http://www.example.com এবং https://www.example.com স্কিমহীন একই-সাইট হিসাবে বিবেচনা করা হয় তবে একই-সাইট নয়, কারণ শুধুমাত্র eTLD+1 অংশ গুরুত্বপূর্ণ এবং স্কিমটি বিবেচনা করা হয় না।

একটি অনুরোধ "একই-সাইট", "একই-উৎস" বা "ক্রস-সাইট" কিনা তা কীভাবে পরীক্ষা করবেন

সমস্ত আধুনিক ব্রাউজার একটি Sec-Fetch-Site HTTP হেডার সহ অনুরোধ পাঠায়। হেডারে নিম্নলিখিত মানগুলির মধ্যে একটি রয়েছে:

• cross-site
• same-site (স্কিমপূর্ণ একই-সাইটকে বোঝায়)
• same-origin
• none

অনুরোধটি একই-সাইট, একই-অরিজিন বা ক্রস-সাইট কিনা তা নির্ধারণ করতে আপনি Sec-Fetch-Site এর মান পরীক্ষা করতে পারেন।

আপনি যুক্তিসঙ্গতভাবে Sec-Fetch-Site হেডারের মান বিশ্বাস করতে পারেন, কারণ:

• Sec- দিয়ে শুরু HTTP শিরোনাম জাভাস্ক্রিপ্ট দ্বারা সংশোধন করা যাবে না
• ব্রাউজার সবসময় এই শিরোনাম সেট করে।