الموقع الإلكتروني نفسه المخطط

تعريف "الموقع نفسه" تتطوّر لتتضمّن مخطط عناوين URL، لذا يتم الآن احتساب الروابط بين إصدارَي HTTP وHTTPS من أحد المواقع الإلكترونية باعتبارها طلبات من مواقع إلكترونية متعددة. يمكنك الترقية إلى HTTPS تلقائيًا لتجنُّب المشاكل حيثما أمكن، أو يمكنك مواصلة القراءة للحصول على تفاصيل حول قيم السمات المطلوبة في سمة SameSite.

Steven Bingler

Rowan Merewood

المخطّط الموقع الإلكتروني نفسه تعدل تعريف أي موقع (ويب) من النطاق القابل للتسجيل فقط إلى المخطط + النطاق القابل للتسجيل. يمكنك العثور على المزيد من التفاصيل والأمثلة في فهم "الموقع نفسه" أو "نفس المصدر".

الخبر السار هو: إذا تمت ترقية موقعك الإلكتروني بالكامل إلى HTTPS، يمكنك فلا داعي للقلق بشأن أي شيء. لن يتغيّر أي شيء بالنسبة إليك.

إذا لم تكن قد أجريت ترقية كاملة لموقعك الإلكتروني إلى الآن، من المفترض أن تكون هذه هي الأولوية. ومع ذلك، إذا كانت هناك حالات يتنقل فيها زوّار موقعك بين HTTP HTTPS بعض هذه السيناريوهات الشائعة وملف تعريف الارتباط SameSite المرتبط السلوك الموضحة أدناه.

يمكنك تفعيل هذه التغييرات للاختبار في كل من Chrome وFirefox.

• من Chrome 86، فعِّل "about://flags/#schemeful-same-site". تتبُّع مستوى التقدّم حول حالة Chrome .
• من الإصدار 79 من Firefox، اضبِط network.cookie.sameSite.schemeful على true من خلال about:config تتبّع مستوى تقدّمك عبر Bugzilla المشكلة.

أحد الأسباب الرئيسية للتغيير إلى SameSite=Lax كإعداد تلقائي كان الهدف من ملفات تعريف الارتباط هو الحماية من تزوير الطلبات عبر المواقع الإلكترونية (CSRF). ومع ذلك، لا تزال حركة بيانات HTTP غير الآمنة تقدم فرصة لمهاجمي الشبكة التلاعب بملفات تعريف الارتباط التي سيتم استخدامها بعد ذلك على إصدار HTTPS الآمن من موقعك. يوفر إنشاء هذه الحدود الإضافية عبر المواقع الإلكترونية بين المخططات مزيد من الدفاع ضد هذه الهجمات.

سيناريوهات شائعة بين المخططات

التنقّل

التنقل بين الإصدارات عبر المخططات لموقع ويب (على سبيل المثال، الربط من http://site.example إلى https://site.example) للسماح في السابق سيتم إرسال SameSite=Strict ملف تعريف ارتباط. يتم التعامل مع هذا الإجراء الآن على أنه موقع إلكتروني مشترك التنقل، ما يعني أنه سيتم حظر ملفات تعريف الارتباط SameSite=Strict.

جارٍ تحميل المراجع الفرعية

ينبغي اعتبار أي تغييرات تجريها هنا إصلاحًا مؤقتًا فقط أثناء يعمل على الترقية إلى بروتوكول HTTPS الكامل.

تشمل أمثلة الموارد الفرعية الصور وإطارات iframe وطلبات الشبكة التي يتم إجراؤها باستخدام XHR أو الجلب.

كان تحميل مورد فرعي متعدد المخططات على صفحة يسمح في السابق SameSite=Strict أو SameSite=Lax من ملفات تعريف الارتباط التي سيتم إرسالها أو ضبطها. الآن هذا هو تتم معالجتها بنفس الطريقة التي يتم بها التعامل مع أي مورد فرعي آخر من جهات خارجية أو على مواقع متعددة يعني ذلك أنّه سيتم حظر أي ملفات تعريف ارتباط SameSite=Strict أو SameSite=Lax.

بالإضافة إلى ذلك، حتى إذا كان المتصفح يسمح بموارد من المخططات غير الآمنة إلى على صفحة آمنة، فسيتم حظر جميع ملفات تعريف الارتباط في هذه الطلبات ملفات تعريف الارتباط التابعة لجهات خارجية أو مواقع إلكترونية متعددة تتطلب السمة Secure.

نشر نموذج

كان النشر بين إصدارات المخططات المتداخلة لموقع الويب يسمح في السابق سيتم إرسال ملفات تعريف الارتباط التي تم ضبطها باستخدام SameSite=Lax أو SameSite=Strict. الآن هذا هو ستُعامل على أنّه طلب POST على مواقع إلكترونية متعددة، ولا يمكن إرسال سوى ملفات تعريف الارتباط SameSite=None. يمكنك هذا السيناريو على المواقع التي تقدم الإصدار غير الآمن بشكل افتراضي، ولكن عليك ترقية المستخدمين إلى الإصدار الآمن عند إرسال طلب تسجيل الدخول أو نموذج تسجيل المغادرة.

وكما هو الحال مع الموارد الفرعية، إذا كان الطلب ينتقل من مصدر آمن، مثل HTTPS إلى غير آمن، على سبيل المثال HTTP والسياق وبالتالي سيتم حظر جميع ملفات تعريف الارتباط في هذه الطلبات لأنّ ملفات تعريف الارتباط التابعة لجهات خارجية أو مواقع إلكترونية متعددة تتطلّب Secure.

كيف يمكنني اختبار موقعي الإلكتروني؟

تتوفّر أدوات المطوّرين والرسائل الخاصة بالمطوّرين في Chrome وFirefox.

من Chrome 86، ستظهر علامة تبويب "المشاكل" في الإجراءات التي ستنفّذها "أدوات مطوري البرامج" تضمين مشاكل الموقع الإلكتروني نفسه المخطّطة. قد تظهر المشاكل التالية بارزة على موقعك الإلكتروني

مشاكل التنقّل:

• "يمكنك النقل بالكامل إلى بروتوكول HTTPS لمواصلة إرسال ملفات تعريف الارتباط على الموقع الإلكتروني نفسه. "طلبات": تحذير بأنّه سيتم حظر ملف تعريف الارتباط في إصدار مستقبلي في Chrome.
• "النقل بالكامل إلى HTTPS لإرسال ملفات تعريف الارتباط على طلبات الموقع نفسه" - A مفاده أن ملف تعريف الارتباط تم حظره.

مشاكل تحميل المورد الفرعي:

• "يمكنك النقل بالكامل إلى بروتوكول HTTPS لمواصلة إرسال ملفات تعريف الارتباط إلى الموقع الإلكتروني نفسه. الموارد الفرعية" أو "النقل بالكامل إلى بروتوكول HTTPS لمواصلة السماح بملفات تعريف الارتباط من خلال الموارد الفرعية للموقع الإلكتروني نفسه"، وهي تحذيرات من أنّ ملف تعريف الارتباط سيكون في إصدار مستقبلي من Chrome.
• "يمكنك النقل بالكامل إلى HTTPS لإرسال ملفات تعريف الارتباط إلى الموارد الفرعية للموقع الإلكتروني نفسه". أو "النقل بالكامل إلى HTTPS للسماح بضبط ملفات تعريف الارتباط بواسطة الموقع الإلكتروني نفسه الموارد الفرعية"—تحذيرات من أنه تم حظر ملف تعريف الارتباط. الخيار الأخير عند نشر نموذج.

يتوفّر مزيد من التفاصيل في نصائح الاختبار وتصحيح الأخطاء للتصميم Same-Site.

من Firefox 79، مع ضبط network.cookie.sameSite.schemeful على true عبر about:config ستعرض وحدة التحكّم رسالة لمشاكل "Semeful Same-Site". قد يظهر لك ما يلي على موقعك الإلكتروني:

• "سيتم قريبًا التعامل مع ملف تعريف الارتباط cookie_name قريبًا على أنّه ملف تعريف ارتباط مواقع إلكترونية متعددة مقابل http://site.example/ لأن المخطط غير متطابق".
• "تم التعامل مع ملف تعريف الارتباط cookie_name على أنه مواقع إلكترونية متعددة http://site.example/ لأن المخطط غير متطابق".

الأسئلة الشائعة

موقعي الإلكتروني متاح بالكامل على HTTPS. لماذا تظهر لي مشاكل في "أدوات مطوري البرامج" في المتصفّح؟

من المحتمل أن بعض الروابط والموارد الفرعية لا تزال تشير إلى موقع إلكتروني غير آمن. عناوين URL.

وتتمثل إحدى طرق حل هذه المشكلة في استخدام HTTP إجراءات أمان مشددة للنقل (HSTS) والتوجيه includeSubDomain. مع HSTS + includeSubDomain متعادل إذا اشتملت إحدى صفحاتك عن طريق الخطأ على رابط غير آمن، فسيجري المتصفح ستستخدم الإصدار الآمن تلقائيًا بدلاً من ذلك.

ماذا أفعل إذا لم أتمكّن من الترقية إلى بروتوكول HTTPS؟

في حين أننا نوصي بشدة بترقية موقعك الإلكتروني بالكامل إلى بروتوكول HTTPS من أجل لحماية المستخدمين، إذا لم تتمكن من إجراء ذلك بنفسك، ننصحك بالتواصل مع المستضيف لمعرفة ما إذا كان بإمكانه توفير هذا الخيار أم لا. إذا كنت تقوم بالاستضافة الذاتية، ثم يوفر Let's Encrypt عددًا من الأدوات تثبيت شهادة وإعدادها. يمكنك أيضًا التحقيق في نقل موقعك وراء شبكة توصيل للمحتوى (CDN) أو أي خادم وكيل آخر يمكنه توفير اتصال HTTPS.

إذا لم يكُن ذلك ممكنًا، جرِّب تخفيف حماية SameSite على. ملفات تعريف الارتباط المتأثرة.

• في الحالات التي يتم فيها حظر SameSite=Strict ملفات تعريف ارتباط فقط، يمكنك خفضها الحماية لـ Lax.
• في الحالات التي يتم فيها حظر ملفَّي تعريف الارتباط Strict وLax وإغلاق إرسال ملفات تعريف الارتباط إلى (أو تعيينها من) عنوان URL آمن، فيمكنك إجراءات الحماية لـ None.
  • سيفشل هذا الحل البديل إذا كان عنوان URL الذي ترسل ملفات تعريف الارتباط إليه (أو تعيينهم منها) غير آمن. ويرجع ذلك إلى أنّ السمة SameSite=None تتطلب Secure على ملفات تعريف الارتباط، ما يعني أنّه قد لا يتم إرسال أو عدم إرسال البيانات عبر اتصال غير آمن. في هذه الحالة، لن تتمكن من الوصول إلى ملف تعريف الارتباط هذا إلى أن تتم ترقية موقعك الإلكتروني إلى بروتوكول HTTPS.
  • وتذكّر أنّ هذا الإجراء مؤقّت فقط لأنّه سيتم في النهاية إيقاف ملفات تعريف الارتباط التابعة لجهات خارجية. تدريجيًا.

كيف يؤثر ذلك في ملفات تعريف الارتباط إذا لم أحدِّد سمة SameSite؟

يتم التعامل مع ملفات تعريف الارتباط التي لا تتضمّن السمة SameSite كما لو تم تحديدها تنطبق SameSite=Lax والسلوك على مستوى المخططات نفسها على ملفات تعريف الارتباط هذه أيضًا. يُرجى العلم أنّ الاستثناء المؤقت للطرق غير الآمنة لا يزال ساريًا، راجِع تخفيف قيود Lax + POST في Chromium SameSite الأسئلة الشائعة لمزيد من المعلومات.

كيف تتأثر WebSockets؟

ستبقى اتصالات WebSocket على الموقع الإلكتروني نفسه إذا كانت متطابقة. وأمان الصفحة.

الموقع نفسه:

• اتصال wss:// من https://
• اتصال ws:// من http://

على جميع المواقع:

• اتصال wss:// من http://
• اتصال ws:// من https://

صورة التقطها جوليسا كابديفيلا في إلغاء البداية