Um novo cabeçalho de resposta HTTP para limitar o script em todo o domínio e solicitar recursos dedicados do navegador.
Origin-Agent-Cluster é um novo cabeçalho de resposta HTTP que instrui o navegador a impedir
o acesso de script síncrono entre páginas entre origens no mesmo site. Os navegadores também podem usar
Origin-Agent-Cluster como uma dica de que a origem precisa ter os próprios recursos separados, como um
processo dedicado.
Compatibilidade com navegadores
No momento, o cabeçalho Origin-Agent-Cluster só é implementado a partir do Chrome 88. Ele foi projetado
em estreita colaboração com representantes do Mozilla Firefox, que o marcaram como vale a pena
prototipar, e tem uma
recepção preliminar
positiva de
representantes do WebKit, o mecanismo de navegador usado pelo Safari.
Enquanto isso, não há problema em implantar o cabeçalho Origin-Agent-Cluster para todos os
usuários. Os navegadores que não entenderem o código vão simplesmente ignorá-lo. E, como as páginas em clusters de agentes com chave de origem podem fazer menos coisas do que as chaveadas por site (o padrão), não há problemas de interoperabilidade.
Por que os navegadores não podem segregar automaticamente as origens do mesmo site
A Web é baseada na política de mesma origem, que é um recurso de segurança que
restringe como documentos e scripts podem interagir com recursos de outra
origem. Por exemplo, uma página hospedada em https://a.example está em uma
origem diferente de uma em https://b.example ou https://sub.a.example.
Nos bastidores, os navegadores usam a separação que as origens fornecem de maneiras diferentes. Antigamente, embora origens separadas não pudessem acessar os dados umas das outras, elas ainda compartilhavam recursos como linhas de execução do sistema operacional, processos e alocação de memória. Isso significava que, se uma guia fosse lenta, todas as outras também seriam. Ou, se uma guia usasse muita memória, ela travaria o navegador inteiro.
Hoje em dia, os navegadores estão mais sofisticados e tentam separar origens diferentes em processos diferentes. A maneira exata como isso funciona varia de acordo com o navegador: a maioria deles tem algum nível de separação entre as guias, mas iframes diferentes dentro de uma única guia podem compartilhar um processo. E como os processos têm um overhead de memória, eles usam heurísticas para evitar a criação de muitos processos: por exemplo, o Firefox tem um limite de processo configurável pelo usuário, e o Chrome varia o comportamento entre computadores (onde a memória é mais abundante) e dispositivos móveis (onde ela é escassa).
Essas heurísticas não são perfeitas. E eles têm uma limitação importante: como há
exceções à política de mesma origem que permitem que subdomínios como https://sub.a.example e
https://a.example se comuniquem, os navegadores não podem segregar subdomínios automaticamente
uns dos outros.
Esse comportamento padrão é chamado de "clusters de agentes com chave de site": ou seja, o navegador agrupa páginas com base
no site. O novo cabeçalho Origin-Agent-Cluster solicita que o navegador altere esse comportamento
padrão para uma determinada página, colocando-o em um cluster de agente com chave origin para que ele seja agrupado
somente com outras páginas que tenham exatamente a mesma origem. Especificamente, as páginas entre origens do mesmo site
serão excluídas do cluster de agentes.
Essa separação voluntária permite que os navegadores deem aos novos clusters de agentes com chave de origem os próprios
recursos dedicados, que não são combinados com os de outras origens. Por exemplo, essas páginas
podem ter o próprio processo ou ser programadas em linhas de execução separadas. Ao adicionar o cabeçalho
Origin-Agent-Cluster à página, você indica ao navegador que a página
se beneficiaria desses recursos dedicados.
No entanto, para realizar a separação e aproveitar esses benefícios, o navegador precisa desativar alguns recursos legados.
O que as páginas com origin-key não podem fazer
Quando sua página está em um cluster de agente com origin-key, você perde a capacidade de se comunicar com páginas de origem cruzada no mesmo site que estavam disponíveis anteriormente. Especificamente, faça o seguinte:
Não é mais possível definir
document.domain. Esse é um recurso legado que normalmente permite que páginas entre origens do mesmo site acessem o DOM uma da outra de forma síncrona, mas em clusters de agentes com chave de origem, ele fica desativado.Não é mais possível enviar objetos
WebAssembly.Modulepara outras páginas entre origens do mesmo site usandopostMessage().(Somente no Chrome) Não é mais possível enviar objetos
SharedArrayBufferouWebAssembly.Memorypara outras páginas de origem cruzada no mesmo site.
Quando usar clusters de agente com origin-key
As origens que mais se beneficiam do cabeçalho Origin-Agent-Cluster são as que:
Ter o melhor desempenho com os próprios recursos dedicados, quando possível. Os exemplos incluem jogos que exigem alta performance, sites de videoconferência ou apps de criação de multimídia.
Contém iframes que usam muitos recursos e têm origem diferente, mas estão no mesmo site. Por exemplo, se
https://mail.example.comincorporar iframeshttps://chat.example.com, a chave de origemhttps://mail.example.com/garante que o código escrito pela equipe de chat não interfira acidentalmente no código escrito pela equipe de e-mail e pode sugerir ao navegador que eles sejam separados para serem programados de forma independente e diminuir o impacto de desempenho entre eles.Espera-se que sejam incorporados em páginas de origem diferente no mesmo site, mas que exigem muitos recursos. Por exemplo, se o
https://customerservicewidget.example.comespera usar muitos recursos para chat por vídeo e será incorporado em várias origens emhttps://*.example.com, a equipe que mantém esse widget poderá usar o cabeçalhoOrigin-Agent-Clusterpara tentar diminuir o impacto de desempenho nos incorporadores.
Além disso, você também precisa desativar os recursos de comunicação entre origens raramente usados e garantir que seu site esteja usando HTTPS.
Mas, no final, essas são apenas orientações. A melhor forma de determinar se os clusters de agentes com origin-key vão ajudar seu site é por meio de medições. Em particular, medir as métricas de vitalidade da Web e, possivelmente, o uso de memória para saber qual é o impacto da chave de origem. O uso da memória em particular é uma possível preocupação, já que o aumento do número de processos em jogo pode causar mais sobrecarga de memória por processo. Não basta lançar a chave de origem e torcer para que dê certo.
Como isso está relacionado ao isolamento de origem cruzada?
A chave de origem de clusters de agentes pelo cabeçalho Origin-Agent-Cluster está relacionada, mas separada
do isolamento entre origens pelos cabeçalhos Cross-Origin-Opener-Policy e
Cross-Origin-Embedder-Policy.
Qualquer site que se torne isolado de origem cruzada também desativa os mesmos recursos de comunicação de origem cruzada
no mesmo site que ao usar o cabeçalho Origin-Agent-Cluster. No entanto, o
cabeçalho Origin-Agent-Cluster ainda pode ser útil além do isolamento de origem cruzada, como uma dica
extra para que o navegador modifique a heurística de alocação de recursos. Portanto, ainda é necessário
aplicar o cabeçalho Origin-Agent-Cluster e medir os resultados, mesmo em páginas que já
estão isoladas entre origens.
Como usar o cabeçalho Origin-Agent-Cluster
Para usar o cabeçalho Origin-Agent-Cluster, configure seu servidor da Web para enviar o seguinte cabeçalho de resposta
HTTP:
Origin-Agent-Cluster: ?1
O valor de ?1 é a sintaxe do cabeçalho estruturado para um valor booleano true.
É importante enviar esse cabeçalho em todas as respostas da sua origem, não apenas em algumas páginas. Caso contrário, você pode receber resultados inconsistentes, em que o navegador "lembra" de uma solicitação de chave de origem e, portanto, usa chaves de origem mesmo em páginas que não pedem isso. Ou o contrário: se a primeira página que um usuário visita não tiver o cabeçalho, o navegador vai lembrar que a origem não quer ser chaveada e vai ignorar o cabeçalho nas páginas seguintes.
O motivo dessa "memória" é garantir a consistência da codificação de uma origem. Se algumas páginas em uma
origem tiverem chave de origem e outras não, você poderá ter duas páginas de mesma origem que foram
colocadas em clusters de agentes diferentes e, portanto, não puderam se comunicar entre si. Isso seria
muito estranho, tanto para desenvolvedores da Web quanto para as partes internas do navegador. Portanto, a especificação
de Origin-Agent-Cluster ignora o cabeçalho se ele for inconsistente com o que foi visto anteriormente
para uma determinada origem. No Chrome, isso vai resultar em um aviso no console.
Essa consistência é aplicada a um grupo de contexto de navegação, que é um grupo de guias, janelas ou
iframes que podem ser acessados uns pelos outros por mecanismos como window.opener, frames[0] ou
window.parent. Isso significa que, depois que a origem ou o site-key de uma origem tiver sido estabelecido (pelo
navegador vendo ou não o cabeçalho), a alteração exigirá a abertura de uma guia
totalmente nova, sem nenhuma conexão com a antiga.
Esses detalhes podem ser importantes para testar o cabeçalho Origin-Agent-Cluster. Ao adicionar pela primeira vez
ao seu site, apenas atualizar a página não vai funcionar. Você precisa fechar a guia e abrir uma nova.
Para verificar se o cabeçalho Origin-Agent-Cluster foi aplicado, use a propriedade JavaScript window.originAgentCluster. Isso será true nos casos em que o cabeçalho (ou outros
mecanismos, como isolamento entre origens) causou a chave de origem; false
quando não causou; e undefined em navegadores que não implementam o cabeçalho Origin-Agent-Cluster.
O registro desses dados na sua plataforma de análise pode fornecer uma verificação valiosa de que você configurou o servidor corretamente.
Por fim, o cabeçalho Origin-Agent-Cluster só funciona em contextos
seguros, ou seja, em páginas
HTTPS ou em http://localhost. As páginas HTTP que não são do localhost não oferecem suporte a clusters de agentes com chave de origem.
A chave de origem não é um recurso de segurança
Embora o uso de um cluster de agente com chave de origem isole a origem do acesso síncrono de
páginas de origem cruzada no mesmo site, ele não oferece a proteção de
cabeçalhos relacionados à segurança, como
Cross-Origin-Resource-Policy
e
Cross-Origin-Opener-Policy.
Em particular, não é uma proteção confiável contra ataques de canal lateral, como
Spectre.
Isso pode ser um pouco surpreendente, porque a chave de origem às vezes pode fazer com que a origem tenha seu próprio
processo, e processos separados são uma defesa importante contra ataques de canal lateral. Mas lembre-se
de que o cabeçalho Origin-Agent-Cluster é apenas uma dica nesse sentido. O navegador não tem a obrigação de fornecer um processo separado à origem e talvez não faça isso por vários motivos:
Um navegador pode não implementar a tecnologia para fazer isso. Por exemplo, atualmente, o Safari e o Firefox podem colocar guias separadas nos próprios processos, mas ainda não podem fazer isso para iframes.
O navegador pode decidir que não vale a pena usar um processo separado. Por exemplo, em dispositivos Android com pouca memória ou na WebView do Android, o Chrome usa o menor número possível de processos.
O navegador pode querer respeitar a solicitação indicada pelo cabeçalho
Origin-Agent-Cluster, mas pode fazer isso usando uma tecnologia de isolamento diferente dos processos. Por exemplo, o Chrome está explorando usando linhas de execução em vez de processos para esse tipo de isolamento de desempenho.O usuário ou o código em execução em um site diferente pode ter navegado para uma página com chave de site na sua origem, fazendo com que a garantia de consistência seja ativada e o cabeçalho
Origin-Agent-Clusterseja ignorado completamente.
Por esses motivos, é importante não pensar em clusters de agentes com chave de origem como um recurso de segurança. Em vez disso, é uma maneira de ajudar o navegador a priorizar a alocação de recursos, sugerindo que sua origem se beneficiaria de recursos dedicados (e que você está disposto a abrir mão de alguns recursos em troca).
Feedback
A equipe do Chrome gostaria de saber se você está usando ou pretende usar o cabeçalho
Origin-Agent-Cluster. Seu interesse e apoio público nos ajudam a priorizar recursos e mostrar a outros
fornecedores de navegadores o quanto eles são importantes. Envie um tweet para @ChromiumDev e
compartilhe suas ideias e experiências com o Chrome DevRel.
Se você tiver mais dúvidas sobre a especificação ou os detalhes de como o recurso funciona,
registre um problema no repositório do GitHub do HTML Standard. Se você
encontrar algum problema com a implementação do Chrome, registre um bug em
new.crbug.com
com o campo "Components" definido como Internals>Sandbox>SiteIsolation.
Saiba mais
Para saber mais sobre clusters de agente com origin-key, confira os detalhes nestes links:
- Demonstração e origem de demonstração
- Explicação
- Especificação
- Rastreamento de bugs: Chrome, Firefox e Safari