Cross-Origin-Resource-Policyヘッダ

画像やJavaScriptなどのリソースを返すときに、レスポンスヘッダにつける。

Cross-Origin-Resource-Policy: same-origin

(WWDCではヘッダ値はsameと書かれていたが、Fetchの仕様ではsame-origin/same-site)

• same-originは同一オリジンの場合のみ許可される
• same-siteはhttpsかつ同じホスト名の場合のみ許可される

まだ議論中なので、実際どうなるかはわからない

Network Error Logging

「Network Error Logging」は、W3CのWICGで議論されている仕様です。

HTTPレスポンスヘッダで、nelヘッダを指定することでネットワークエラーを指定したエンドポイントに対してレポートするようになります。レポート先エンドポイントは「Reporting API」で定義されるように、report-toヘッダで別途指定します。

指定例

nel: {"report-to": "network-errors", "max-age": 3600, "include-subdomains": true,"success-fraction": 0}
report-to: { "endpoints": [{"url" : "https://asnokaze.com/report"}], "group": "network-errors","max-age": 10886400, "include-subdomains":true}

nelヘッダでは以下のような指定ができます

• report-to: エンドポイントのグループ識別子(別途report-toヘッダで指定する)
• max-age: このヘッダで指定される指示の有効期限
• error-fraction: エラー発生時にレポートを送信する割合。1.0~0.0の間で指定
• success-fraction: エラーが発生していなくてもレポートを送信する割合。1.0~0.0の間で指定
• include-subdomains: サブドメインのネットワークエラーもレポートするか

このように指定すると、以後そのドメインでネットワークエラーが発生した場合に以下のようにレポートがPOSTされる。
404エラーが発生した場合と、名前解決エラーが発生した場合のレポート例です(jsonは整形済み)

どのページで、どういたネットワークエラーが発生したか確認できる。

[
	{
		"age": 240003,
		"report": {
			"elapsed-time": 33,
			"protocol": "http/1.1",
			"referrer": "https://asnokaze.com/nel.html",
			"sampling-fraction": 1,
			"server-ip": "160.16.124.39",
			"status-code": 404,
			"type": "http.error",
			"uri": "https://asnokaze.com/img/b.gif"
		},
		"type": "network-error",
		"url": "https://asnokaze.com/img/b.gif"
	},
	{
		"age": 147358,
		"report": {
			"elapsed-time": 7,
			"protocol": "",
			"referrer": "https://asnokaze.com/nel.html",
			"sampling-fraction": 1,
			"server-ip": "",
			"status-code": 0,
			"type": "dns.name_not_resolved",
			"uri": "https://nothing.asnokaze.com/"
		},
		"type": "network-error",
		"url": "https://nothing.asnokaze.com/"
	}
]

動作確認

Chromeの「chrome://net-internals/#reporting」より、Network Error Loggingが有効であること、レポートとして送信されるデータが確認できる

一応、NEL確認用ページ
https://asnokaze.com/nel.html

エラーの種類

Network Error Loggingでは様々なエラーが定義されています。

• ok エラーはない
• dns.unreachable DNSサーバへ到達できない
• dns.name_not_resolved DNSサーバは応答したが名前解決に失敗
• dns.failedRequest 上記以外の理由で名前解決エラー
• tcp.timed_out TCP接続タイムアウト
• tcp.closed TCP接続がクローズされた
• tcp.reset TCP接続がリセットされた
• tcp.refused TCP接続が拒否された
• tcp.aborted TCP接続が中断された
• tcp.address_invalid TCP接続のアドレスが正しくない
• tcp.address_unreachable TCP接続のアドレスへ到達できない
• tcp.failed 上記以外の理由でTCP接続が失敗した
• tls.version_or_cipher_mismatch TLSのバージョンや暗号が合わない
• tls.bad_client_auth_cert クライアント認証が正しくない
• tls.cert.name_invalid 証明書の名前が正しくない
• tls.cert.date_invalid 証明書の有効期限が正しくない
• tls.cert.authority_invalid 証明書のauthorityが正しくない
• tls.cert.invalid それ以外の理由で証明書が正しくない
• tls.cert.revoked 証明書が執行している
• tls.cert.pinned_key_not_in_cert_chain key pinningのエラー
• tls.protocol.error TLSのプロトコルエラー
• tls.failed それ以外の理由でTLS接続が失敗した
• http.protocol.error HTTPプロトコルのエラー
• http.response.invalid レスポンスが空やcontent-lengthが不一致、そのたユーザエージェントがレスポンスの処理を中断
• http.response.redirect_loop リダイレクトループ
• http.failed 上記の理由以外でHTTPエラー
• abandoned ユーザによる中断
• unknown 不明

今後

Blinkの開発者MLでChromeへの導入について議論している
https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/nNji_u7BRxo

このまま行けば、Chrome 68の安定版にも入ってくるだろう

Sec-Metadataヘッダ

たとえば、銀行のWebサイトで講座を操作するエンドポイント(リクエストをうけるURL)が、タグでクロスドメインでアクセスされることはないはずです。

Sec-Metadataヘッダは、そのHTTPリクエストがどのようなリクエストなのか情報を付加します。

以下は例です。

// <picture>
Sec-Metadata: initiator=imageset, destination=image, site=cross-site, target=subresource

// Top-level navigation
Sec-Metadata: initiator="", destination=document, site=cross-site, target=top-level, cause=user-activation

// <iframe> navigation
Sec-Metadata: initiator="", destination=document, site=same-site, target=nested, cause=forced

• initiator及び、destininationは どのようにしてリクエストがトリガーされたかわかります。
• targetは、browsing contextを示すtop-level, nested, subresourceのどれかになります
• siteは、same-origin, same-site, cross-siteのどれかです
• causeは、user-activation、forcedです。URLバーへの入力などユーザのアクションによってリクエストが行われたのか、window.locationなどユーザの意志とは別にリクエストが行われたのか識別できます

これらの情報を元に、サーバでは想定していないかどうか識別できるようになります。