खास जानकारी
सुविधा से जुड़ी नीति की मदद से वेब डेवलपर, ब्राउज़र में कुछ एपीआई और वेब सुविधाओं को चुनिंदा तरीके से चालू कर सकते हैं, बंद कर सकते हैं, और उनमें बदलाव कर सकते हैं. यह सीएसपी की तरह है, लेकिन सुरक्षा को कंट्रोल करने की जगह यह सुविधाओं को कंट्रोल करता है!
सुविधा से जुड़ी नीतियां, डेवलपर और ब्राउज़र के बीच ऑप्ट-इन करने से जुड़े छोटे-छोटे समझौते हैं. ये अच्छी क्वालिटी वाले वेब ऐप्लिकेशन बनाने और उनका रखरखाव करने के हमारे लक्ष्यों को हासिल करने में मदद कर सकती हैं.
शुरुआती जानकारी
वेब के लिए निर्माण एक रोमांचक चुनौती है. एक ऐसा बेहतरीन वेब ऐप्लिकेशन बनाना काफ़ी मुश्किल है जो बेहतरीन परफ़ॉर्मेंस में मदद करता है और सभी नए सबसे सही तरीकों का इस्तेमाल करता है. समय के साथ उस अनुभव को बनाए रखना और भी मुश्किल हो जाता है. जैसे-जैसे आपका प्रोजेक्ट बेहतर होता है, डेवलपर इसमें आते हैं, नई सुविधाएं मिलती हैं, और कोड बेस बढ़ता है. अगर आपने आपको जो अनुभव दिया है वह खराब हो सकता है और उपयोगकर्ता अनुभव खराब होना शुरू हो सकता है! सुविधा नीति को आपको ट्रैक पर रखने के लिए बनाया गया है.
सुविधा नीति की मदद से, ब्राउज़र पर आपकी पूरी साइट पर इस्तेमाल की जाने वाली खास सुविधाओं को लागू करने के लिए, "नीतियों" के सेट के लिए ऑप्ट-इन किया जा सकता है. ये नीतियां इस बात पर पाबंदी लगाती हैं कि कुछ सुविधाओं के लिए साइट, किन एपीआई को ऐक्सेस कर सकती है या ब्राउज़र के डिफ़ॉल्ट व्यवहार में बदलाव कर सकती है.
सुविधा नीति की मदद से किए जा सकने वाले कामों के उदाहरण यहां दिए गए हैं:
- मोबाइल पर और तीसरे पक्ष के वीडियो पर,
autoplay
की डिफ़ॉल्ट सेटिंग बदलें. - किसी साइट को,
camera
याmicrophone
जैसे संवेदनशील एपीआई का इस्तेमाल करने से रोकें. - iframe को
fullscreen
API का इस्तेमाल करने की अनुमति दें. - सिंक्रोनस XHR और
document.write()
जैसे पुराने एपीआई का इस्तेमाल ब्लॉक करें. - पक्का करें कि इमेज का साइज़ सही है (जैसे कि लेआउट थ्रेशिंग को रोकना). साथ ही, यह भी पक्का करें कि ये इमेज, व्यूपोर्ट के हिसाब से बहुत बड़ी न हों (उदाहरण के लिए, उपयोगकर्ता की बैंडविड्थ को कम करें).
नीतियां, डेवलपर और ब्राउज़र के बीच हुआ एक कानूनी समझौता है. वे ब्राउज़र को डेवलपर के इरादे के बारे में बताते हैं और इस तरह, जब हमारा ऐप्लिकेशन बिना किसी रुकावट के कुछ गलत करने की कोशिश करता है, तो हमें ईमानदारी से जानकारी देने में मदद करता है. अगर साइट या तीसरे पक्ष का एम्बेड किया गया कॉन्टेंट, डेवलपर के पहले से चुने गए किसी भी नियम का उल्लंघन करता है, तो ब्राउज़र, बेहतर UX के साथ कार्रवाई को बदल देता है या एपीआई को पूरी तरह से ब्लॉक कर देता है.
सुविधा नीति का इस्तेमाल करना
सुविधा की नीति में सुविधाओं को कंट्रोल करने के दो तरीके हैं:
Feature-Policy
एचटीटीपी हेडर के ज़रिए.- iframes पर
allow
एट्रिब्यूट के साथ.
Feature-Policy
एचटीटीपी हेडर
सुविधा की नीति को इस्तेमाल करने का सबसे आसान तरीका, Feature-Policy
एचटीटीपी हेडर को किसी पेज के रिस्पॉन्स के साथ भेजना है. इस हेडर की वैल्यू एक नीति या नीतियों का
सेट है, जिसे ब्राउज़र में किसी दिए गए ऑरिजिन के लिए स्वीकार किया जाना चाहिए:
Feature-Policy: <feature> <allow list origin(s)>
ऑरिजिन की अनुमति वाली सूची में कई अलग-अलग वैल्यू हो सकती हैं:
*
: टॉप लेवल के ब्राउज़िंग कॉन्टेक्स्ट में और नेस्ट किए गए ब्राउज़िंग कॉन्टेक्स्ट (iframe) में इस सुविधा की अनुमति है.'self'
: इस सुविधा को टॉप लेवल के ब्राउज़िंग कॉन्टेक्स्ट और एक ही ऑरिजिन के नेस्ट किए गए ब्राउज़िंग कॉन्टेक्स्ट में इस्तेमाल करने की अनुमति है. नेस्ट किए गए ब्राउज़िंग कॉन्टेक्स्ट में क्रॉस-ऑरिजिन दस्तावेज़ों में इसकी अनुमति नहीं है.'none'
: टॉप-लेवल के ब्राउज़िंग कॉन्टेक्स्ट में इस सुविधा की अनुमति नहीं है और नेस्ट किए गए ब्राउज़िंग कॉन्टेक्स्ट में इसे अस्वीकार किया गया है.<origin(s)>
: वे खास ऑरिजिन जिनके लिए नीति चालू करनी है (जैसे,https://example.com
).
उदाहरण
मान लें कि आपको अपनी पूरी साइट पर सभी कॉन्टेंट को जियोलोकेशन एपीआई का इस्तेमाल करने से रोकना है. ऐसा करने के लिए, geolocation
सुविधा के लिए 'none'
को अनुमति वाली सूची में शामिल करें:
Feature-Policy: geolocation 'none'
अगर कोड का कोई हिस्सा या iframe, जियोलोकेशन एपीआई का इस्तेमाल करने की कोशिश करता है, तो ब्राउज़र उसे ब्लॉक कर देता है. यह बात तब भी लागू होती है, जब उपयोगकर्ता ने पहले अपनी जगह की जानकारी शेयर करने की अनुमति दी हो.
दूसरे मामलों में, इस नीति में थोड़ी छूट दी जा सकती है. हम अपने ऑरिजिन को जियोलोकेशन एपीआई का इस्तेमाल करने की अनुमति दे सकते हैं. हालांकि, तीसरे पक्ष के कॉन्टेंट को अनुमति की सूची में 'self'
सेट करके, इसे ऐक्सेस करने से रोक सकते हैं:
Feature-Policy: geolocation 'self'
iframe allow
एट्रिब्यूट
सुविधा से जुड़ी नीति का इस्तेमाल करने का दूसरा तरीका है, iframe
में मौजूद कॉन्टेंट को कंट्रोल करना. एम्बेड किए गए कॉन्टेंट के लिए, नीति की सूची बताने के लिए allow
एट्रिब्यूट का इस्तेमाल करें:
<!-- Allow all browsing contexts within this iframe to use fullscreen. -->
<iframe src="https://example.com..." allow="fullscreen"></iframe>
<!-- Equivalent to: -->
<iframe src="https://example.com..." allow="fullscreen *"></iframe>
<!-- Allow only iframe content on a particular origin to access the user's location. -->
<iframe
src="https://another-example.com/demos/..."
allow="geolocation https://another-example.com"
></iframe>
मौजूदा iframe एट्रिब्यूट का क्या होगा?
सुविधा से जुड़ी नीति से कंट्रोल की जाने वाली कुछ सुविधाओं में, सुविधाओं को कंट्रोल करने के लिए पहले से एक एट्रिब्यूट होता है. उदाहरण के लिए, <iframe allowfullscreen>
एक ऐसा एट्रिब्यूट है जो iframe कॉन्टेंट को HTMLElement.requestFullscreen()
API का इस्तेमाल करने की अनुमति देता है. इनमें Payment अनुरोध API और getUserMedia()
को अनुमति देने के लिए, allowpaymentrequest
और allowusermedia
एट्रिब्यूट भी होते हैं.
जहां भी हो सके, इन पुराने एट्रिब्यूट के बजाय, allow
एट्रिब्यूट का इस्तेमाल करने की कोशिश करें. ऐसे मामलों में जहां आपको मिलती-जुलती लेगसी एट्रिब्यूट के साथ allow
एट्रिब्यूट का इस्तेमाल करके, पुराने सिस्टम के साथ काम करने की सुविधा देनी ज़रूरी है (उदाहरण के लिए, <iframe allowfullscreen allow="fullscreen">
).
बस ध्यान दें कि ज़्यादा पाबंदी वाली नीति कारगर होगी. उदाहरण के लिए, नीचे दिए गए
iframe को फ़ुलस्क्रीन मोड में जाने की अनुमति नहीं दी जाएगी, क्योंकि
allow="fullscreen 'none'"
, allowfullscreen
से ज़्यादा पाबंदी वाला है:
<!-- Blocks fullscreen access if the browser supports feature policy. -->
<iframe allowfullscreen allow="fullscreen 'none'" src="..."></iframe>
कई नीतियों को एक साथ कंट्रोल करना
नीति के निर्देशों की ;
से अलग की गई सूची के साथ, एचटीटीपी हेडर भेजकर कई सुविधाओं को एक ही समय पर कंट्रोल किया जा सकता है:
Feature-Policy: unsized-media 'none'; geolocation 'self' https://example.com; camera *;
हर नीति का अलग हेडर भेजकर:
Feature-Policy: unsized-media 'none'
Feature-Policy: geolocation 'self' https://example.com
Feature-Policy: camera *;
इस उदाहरण में ये कार्रवाइयां की जाएंगी:
- यह नीति सभी ब्राउज़िंग कॉन्टेक्स्ट के लिए,
unsized-media
के इस्तेमाल की अनुमति नहीं देती है. - यह नीति, पेज के ऑरिजिन और
https://example.com
को छोड़कर, किसी भी अन्य ब्राउज़िंग कॉन्टेक्स्ट के लिए,geolocation
के इस्तेमाल की अनुमति नहीं देती है. camera
को सभी ब्राउज़िंग कॉन्टेक्स्ट का ऐक्सेस देता है.
उदाहरण - iframe पर एक से ज़्यादा नीतियां सेट करना
<!-- Blocks the iframe from using the camera and microphone
(if the browser supports feature policy). -->
<iframe allow="camera 'none'; microphone 'none'"></iframe>
JavaScript एपीआई
Chrome 60 ने iframe पर, Feature-Policy
एचटीटीपी हेडर और
allow
एट्रिब्यूट को जोड़ने की सुविधा जोड़ी है. हालांकि, Chrome 74 में JavaScript API को जोड़ा गया है.
इस एपीआई की मदद से क्लाइंट-साइड कोड यह तय करता है कि किसी पेज, फ़्रेम या ब्राउज़र पर किन सुविधाओं को इस्तेमाल करने की अनुमति है. मुख्य दस्तावेज़ के लिए, document.featurePolicy
या iframes के लिए frame.featurePolicy
में जाकर, इसकी आकर्षक चीज़ों को ऐक्सेस किया जा सकता है.
उदाहरण
नीचे दिए गए उदाहरण में, https://example.com
साइट पर Feature-Policy: geolocation 'self'
की नीति भेजने के नतीजे दिखाए गए हैं:
/* @return {Array<string>} List of feature policies allowed by the page. */
document.featurePolicy.allowedFeatures();
// → ["geolocation", "midi", "camera", "usb", "autoplay",...]
/* @return {boolean} True if the page allows the 'geolocation' feature. */
document.featurePolicy.allowsFeature('geolocation');
// → true
/* @return {boolean} True if the provided origin allows the 'geolocation' feature. */
document.featurePolicy.allowsFeature(
'geolocation',
'https://another-example.com/'
);
// → false
/* @return {Array<string>} List of feature policies allowed by the browser
regardless of whether they are in force. */
document.featurePolicy.features();
// → ["geolocation", "midi", "camera", "usb", "autoplay",...]
/* @return {Array<string>} List of origins (used throughout the page) that are
allowed to use the 'geolocation' feature. */
document.featurePolicy.getAllowlistForFeature('geolocation');
// → ["https://example.com"]
नीतियों की सूची
आइए जानते हैं कि सुविधा से जुड़ी नीति की मदद से, किन सुविधाओं को कंट्रोल किया जा सकता है?
फ़िलहाल, यह दस्तावेज़ उपलब्ध नहीं है कि कौनसी नीतियां लागू की गई हैं और उन्हें कैसे इस्तेमाल करना है. समय के साथ इस सूची में और बढ़ोतरी होगी, क्योंकि अलग-अलग ब्राउज़र इस खास जानकारी को अपनाते हैं और अलग-अलग नीतियां लागू करते हैं. सुविधा की नीति को एक जगह से दूसरी जगह ले जाया जा सकता है. साथ ही, अच्छे रेफ़रंस दस्तावेज़ों की ज़रूरत ज़रूर होगी.
फ़िलहाल, यह देखने के कई तरीके हैं कि कौनसी सुविधाएं कंट्रोल की जा सकती हैं.
- हमारी सुविधा नीति किचन सिंक डेमो देखें. इसमें Blink में लागू की गई हर नीति के उदाहरण दिए गए हैं.
- सुविधा के नामों की सूची देखने के लिए Chrome का सोर्स देखें.
- सूची ढूंढने के लिए,
about:blank
परdocument.featurePolicy.allowedFeatures()
क्वेरी करें:
["geolocation",
"midi",
"camera",
"usb",
"magnetometer",
"fullscreen",
"animations",
"payment",
"picture-in-picture",
"accelerometer",
"vr",
...
- chromestatus.com पर ऐसी नीतियां देखें जिन्हें लागू किया गया है या जिन पर Blink में विचार किया जा रहा है.
इनमें से कुछ नीतियों को इस्तेमाल करने का तरीका जानने के लिए, GitHub का डेटा रेपो देखें. इस दस्तावेज़ में, कुछ नीतियों की जानकारी दी गई है.
अक्सर पूछे जाने वाले सवाल
मैं सुविधा नीति का इस्तेमाल कब करूं?
सभी नीतियां ऑप्ट-इन होती हैं. इसलिए, जब/जहां सही लगे, तब सुविधा की नीति का इस्तेमाल करें. उदाहरण के लिए,
अगर आपका ऐप्लिकेशन एक इमेज गैलरी है, तो maximum-downscaling-image
नीति, मोबाइल व्यूपोर्ट पर बड़ी इमेज भेजने से बचने में आपकी मदद करेगी.
document-write
और sync-xhr
जैसी अन्य नीतियों का इस्तेमाल ज़्यादा सावधानी से करना चाहिए. इन्हें चालू करने से, तीसरे पक्ष का कॉन्टेंट खराब हो सकता है, जैसे कि विज्ञापन. वहीं दूसरी ओर, सुविधा नीति एक गड़बड़ी की जांच हो सकती है. इससे यह पक्का किया जा सकता है कि आपके पेजों पर
इन नुकसान पहुंचाने वाले एपीआई का कभी इस्तेमाल न किया जाए!
क्या मैं डेवलपमेंट या प्रोडक्शन में सुविधा नीति का इस्तेमाल करता/करती हूं?
दोनों. हमारा सुझाव है कि आप डेवलपमेंट के दौरान नीतियों को चालू रखें और प्रोडक्शन के दौरान नीतियों को ऐक्टिव रखें. डेवलपमेंट के दौरान नीतियों को चालू करने से आपको सही तरीके से शुरुआत करने में मदद मिल सकती है. इससे आपको अनचाहे रिग्रेशन के होने से पहले ही पता लगाने में मदद मिलेगी. उपयोगकर्ताओं को एक खास उपयोगकर्ता अनुभव देने के लिए, प्रोडक्शन में नीतियों को चालू रखें.
क्या मेरे सर्वर पर नीति के उल्लंघनों की शिकायत करने का कोई तरीका है?
Reporting API पर काम किया जा रहा है! जिस तरह साइटों के लिए, सीएसपी के उल्लंघनों या रोक लगाने की रिपोर्ट पाने के लिए ऑप्ट-इन किया जाता है उसी तरह, आपको जंगल में किसी भी सुविधा से जुड़ी नीति के उल्लंघनों की रिपोर्ट भी मिल सकती हैं.
iframe कॉन्टेंट के लिए इनहेरिटेंस के नियम क्या हैं?
स्क्रिप्ट (पहला या तीसरा पक्ष), अपने ब्राउज़िंग कॉन्टेक्स्ट की नीति इनहेरिट करती है. इसका मतलब है कि टॉप लेवल स्क्रिप्ट, मुख्य दस्तावेज़ की नीतियों को इनहेरिट करती हैं.
iframe
पर अपने पैरंट पेज की नीतियां लागू होती हैं. अगर iframe
में
allow
एट्रिब्यूट है, तो पैरंट पेज और allow
सूची के बीच सख्त नीति का पालन करने पर सही नतीजे मिलेंगे. iframe
के इस्तेमाल के बारे में ज़्यादा जानकारी के लिए, iframes पर allow
एट्रिब्यूट देखें.
अगर मैं कोई नीति लागू करता/करती हूं, तो क्या वह पेज नेविगेशन पर लागू होती है?
नहीं. किसी नीति को लागू होने की अवधि, एक पेज के नेविगेशन रिस्पॉन्स के हिसाब से होती है. अगर
उपयोगकर्ता किसी नए पेज पर जाता है, तो नीति लागू होने के लिए,
नए जवाब में Feature-Policy
हेडर साफ़ तौर पर भेजा जाना चाहिए.
किन ब्राउज़र पर यह सुविधा नीति काम करती है?
ब्राउज़र सहायता के बारे में ताज़ा जानकारी के लिए caniuse.com देखें.
फ़िलहाल, सुविधाओं से जुड़ी नीति के लिए सिर्फ़ Chrome ही इस्तेमाल किया जा सकता है. हालांकि, एपीआई का पूरा प्लैटफ़ॉर्म ऑप्ट-इन किया गया है या सुविधा का पता लगाया जा सकता है, इसलिए सुविधा से जुड़ी नीति को बेहतर बनाने के लिए बेहतर तरीके से खुद को बेहतर बनाती है.
नतीजा
सुविधा की नीति से, उपयोगकर्ता अनुभव को बेहतर बनाने और उसकी परफ़ॉर्मेंस बेहतर बनाने में मदद मिलती है. यह ऐप्लिकेशन बनाते या उसका रखरखाव करते समय खास तौर पर काम आता है, क्योंकि इसकी मदद से आपके कोड बेस में जाने से पहले ही, आने वाले फ़ुटगनों से बचा जा सकता है.
दूसरे संसाधन:
- सुविधा नीति के बारे में जानकारी
- सुविधा नीति की खास जानकारी
- किचन सिंक के डेमो
- सुविधा नीति DevTools एक्सटेंशन - किसी पेज पर सुविधा से जुड़ी नीतियों को आज़माने के लिए टेस्टर.
- chromestatus.com की एंट्री