2017年7月27日,W3C的技术架构组(Technical Architecture Group)发布了关于分布式聚合内容(Distributed and Syndicated Content)的TAG发现报告(TAG Finding),关注类似AMP URL带来的潜在问题。
你留意过Google搜索结果所反馈的URL吗?当需要访问 https://www.rt.com/sport/... ,你可能从Google得到的是这样一个URL: https://www.google.co.uk/amp/s/www.rt.com/document/... 。这其实是Google的AMP项目中提供给“今日俄罗斯(Russia Today)”的cache页面。这一技术使得Google可以更快的响应用户访问搜索引擎结果中的链接,提供较好的用户体验。
但是,Web严重依赖于“源策略(origin policy)”,这可以帮助浏览器来管理各种权限(如访问本地位置、摄像头、麦克风等设备),识别恶意行为(如钓鱼攻击),以及帮助提供密码认证及填写表单。在上面例子中,这一机制使得各类权限和安全设置都指向一个特定的源,即rt.com。将内容分布到不同地方(如google的cache服务器)或使用从其他站点的聚合内容(syndicated content),会让内容分不到不同的站点上,从而破坏Web的“源策略”,进而使用户感到迷惑(我本来是要访问这个网站,为什么内容来自另一个网站),并让浏览器无法利用同源策略确保站点的安全性。
W3C的技术架构组(TAG)认真的考虑了这一问题,在充分认可类似于Google AMP这一类技术带来的价值的同时,也希望指出这类技术可能引入的严重问题。在Web生态系统中,用户需要理解其所访问的内容来自于哪里,对而浏览器需要保护用户的安全。为此,W3C技术架构组发布了一份TAG发现报告,探讨分布式及聚合内容的应用场景、潜在问题、及建议的对策(如预先渲染/Prerendering、透明IFRAME、基于签字的封装/packaging等)。
更多内容,请参阅W3C技术架构组,及:
-W3C TAG Blog: 分布式联合内容(Distributed and Syndicated Content: What's Wrong with this Picture?)
评论已关闭