"একই-সাইট" এবং "একই-উৎপত্তি" প্রায়শই উল্লেখ করা হয় কিন্তু প্রায়ই ভুল বোঝাবুঝি হয়। উদাহরণস্বরূপ, এগুলি পৃষ্ঠার রূপান্তর, fetch()
অনুরোধ, কুকি, খোলার পপআপ, এমবেডেড সংস্থান এবং আইফ্রেমের প্রসঙ্গে ব্যবহৃত হয়। এই পৃষ্ঠাটি ব্যাখ্যা করে যে তারা কী এবং কীভাবে তারা একে অপরের থেকে আলাদা।
উৎপত্তি
"অরিজিন" হল একটি স্কিমের সংমিশ্রণ ( প্রটোকল হিসাবেও পরিচিত, উদাহরণস্বরূপ HTTP বা HTTPS ), একটি হোস্টনাম এবং একটি পোর্ট (যদি নির্দিষ্ট করা হয়)। উদাহরণস্বরূপ, https://www.example.com:443/foo
এর একটি URL দেওয়া হয়েছে, "অরিজিন" হল https://www.example.com:443
।
"একই-অরিজিন" এবং "ক্রস-অরিজিন"
স্কিম, হোস্টনাম এবং পোর্টের একই সমন্বয় রয়েছে এমন ওয়েবসাইটগুলিকে "একই-অরিজিন" হিসাবে বিবেচনা করা হয়। বাকি সবকিছু "ক্রস-অরিজিন" হিসাবে বিবেচিত হয়।
উৎপত্তি এ | উৎপত্তি বি | "একই-উৎপত্তি" বা "ক্রস-অরিজিন"? |
---|---|---|
https://www.example.com:443 | https://www.evil.com :443 | ক্রস-অরিজিন: বিভিন্ন ডোমেইন |
https:// example.com :443 | ক্রস-অরিজিন: বিভিন্ন সাবডোমেন | |
https:// লগইন .example.com:443 | ক্রস-অরিজিন: বিভিন্ন সাবডোমেন | |
http://www.example.com:443 | ক্রস-অরিজিন: বিভিন্ন স্কিম | |
https://www.example.com: ৮০ | ক্রস-অরিজিন: বিভিন্ন পোর্ট | |
https://www.example.com:443 | একই-উৎস: সঠিক মিল | |
https://www.example.com | একই-অরিজিন: অন্তর্নিহিত পোর্ট নম্বর (443) মেলে |
সাইট
টপ-লেভেল ডোমেইন (TLDs) যেমন .com
এবং .org
রুট জোন ডেটাবেসে তালিকাভুক্ত করা হয়েছে। আগের
উদাহরণ, "সাইট" হল স্কিম , TLD এবং ডোমেনের ঠিক আগের অংশের সংমিশ্রণ (আমরা এটিকে TLD+1 বলি)। উদাহরণস্বরূপ, https://www.example.com:443/foo
এর একটি URL দেওয়া হয়েছে, "সাইট" হল https://example.com
।
পাবলিক প্রত্যয় তালিকা এবং eTLD
.co.jp
বা .github.io
এর মতো উপাদান সহ ডোমেনের জন্য, শুধুমাত্র .jp
বা .io
ব্যবহার করা "সাইট" সনাক্ত করার জন্য যথেষ্ট নির্দিষ্ট নয়। একটি নির্দিষ্ট TLD এর জন্য নিবন্ধনযোগ্য ডোমেনের স্তর অ্যালগরিদমিকভাবে নির্ধারণ করার কোন উপায় নেই। এতে সাহায্য করার জন্য, পাবলিক সাফিক্স লিস্ট সর্বজনীন প্রত্যয়গুলির একটি তালিকাকে সংজ্ঞায়িত করে, একে কার্যকর TLDs (eTLDs) ও বলা হয়। eTLD-এর তালিকা publicsuffix.org/list- এ রক্ষণাবেক্ষণ করা হয়।
একটি eTLD অন্তর্ভুক্ত একটি ডোমেনের "সাইট" অংশ সনাক্ত করতে, .com
এর উদাহরণের মতো একই অনুশীলন প্রয়োগ করুন। উদাহরণ হিসাবে https://www.project.github.io:443/foo
নিলে, স্কিমটি হল https
, eTLD হল .github.io
এবং eTLD+1 হল project.github.io
, তাই https://project.github.io
এই URL এর জন্য "সাইট" হিসাবে বিবেচিত হয়৷
"একই-সাইট" এবং "ক্রস-সাইট"
যে ওয়েবসাইটগুলিতে একই স্কিম এবং একই eTLD+1 আছে সেগুলিকে "একই-সাইট" হিসাবে বিবেচনা করা হয়। যে ওয়েবসাইটগুলির একটি ভিন্ন স্কিম বা একটি ভিন্ন eTLD+1 আছে সেগুলি হল "ক্রস-সাইট"।
উৎপত্তি এ | উৎপত্তি বি | "একই-সাইট" বা "ক্রস-সাইট"? |
---|---|---|
https://www.example.com:443 | https://www.evil.com :443 | ক্রস-সাইট: বিভিন্ন ডোমেইন |
https:// লগইন .example.com:443 | একই-সাইট: বিভিন্ন সাবডোমেন কোন ব্যাপার না | |
http://www.example.com:443 | ক্রস-সাইট: বিভিন্ন স্কিম | |
https://www.example.com: ৮০ | একই সাইট: বিভিন্ন পোর্ট কোন ব্যাপার না | |
https://www.example.com:443 | একই সাইট: সঠিক মিল | |
https://www.example.com | একই-সাইট: পোর্ট কোন ব্যাপার না |
"পরিকল্পিত একই সাইট"
HTTP একটি দুর্বল চ্যানেল হিসাবে ব্যবহার করা প্রতিরোধ করার জন্য সাইটের অংশ হিসাবে URL স্কিম অন্তর্ভুক্ত করতে "একই-সাইট"-এর সংজ্ঞা পরিবর্তন করা হয়েছে। স্কিম তুলনা ছাড়া "একই-সাইট" এর পুরানো ধারণাটিকে এখন "স্কিমহীন একই-সাইট" বলা হয়। উদাহরণস্বরূপ, http://www.example.com
এবং https://www.example.com
স্কিমহীন একই-সাইট হিসাবে বিবেচনা করা হয় তবে একই-সাইট নয়, কারণ শুধুমাত্র eTLD+1 অংশ গুরুত্বপূর্ণ এবং স্কিমটি বিবেচনা করা হয় না।
উৎপত্তি এ | উৎপত্তি বি | "পরিকল্পনাহীন একই-সাইট" বা "ক্রস-সাইট"? |
---|---|---|
https://www.example.com:443 | https://www.evil.com :443 | ক্রস-সাইট: বিভিন্ন ডোমেইন |
https:// লগইন .example.com:443 | স্কিমহীন একই-সাইট: বিভিন্ন সাবডোমেন কোন ব্যাপার না | |
http://www.example.com:443 | স্কিমহীন একই-সাইট: বিভিন্ন স্কিম কোন ব্যাপার না | |
https://www.example.com: ৮০ | স্কিমলেস একই-সাইট: বিভিন্ন পোর্ট কোন ব্যাপার না | |
https://www.example.com:443 | পরিকল্পনাহীন একই-সাইট: সঠিক মিল | |
https://www.example.com | স্কিমলেস একই-সাইট: পোর্ট কোন ব্যাপার না |
একটি অনুরোধ "একই-সাইট", "একই-উৎস" বা "ক্রস-সাইট" কিনা তা কীভাবে পরীক্ষা করবেন
সমস্ত আধুনিক ব্রাউজার একটি Sec-Fetch-Site
HTTP হেডার সহ অনুরোধ পাঠায়। হেডারে নিম্নলিখিত মানগুলির মধ্যে একটি রয়েছে:
-
cross-site
-
same-site
(স্কিমপূর্ণ একই-সাইটকে বোঝায়) -
same-origin
-
none
অনুরোধটি একই-সাইট, একই-অরিজিন বা ক্রস-সাইট কিনা তা নির্ধারণ করতে আপনি Sec-Fetch-Site
এর মান পরীক্ষা করতে পারেন।
আপনি যুক্তিসঙ্গতভাবে Sec-Fetch-Site
হেডারের মান বিশ্বাস করতে পারেন, কারণ:
-
Sec-
দিয়ে শুরু HTTP শিরোনাম জাভাস্ক্রিপ্ট দ্বারা সংশোধন করা যাবে না - ব্রাউজার সবসময় এই শিরোনাম সেট করে।