El bloqueo de cookies de terceros por parte de los navegadores, la configuración del usuario y la partición de almacenamiento plantea un desafío para los sitios y servicios que dependen de cookies y otro almacenamiento en contextos incorporados para los recorridos de los usuarios, como la autenticación. La API de Storage Access (SAA) permite que estos casos de uso sigan funcionando, a la vez que limita el seguimiento entre sitios tanto como sea posible.
Estado de implementación
La API de Storage Access está disponible en todos los navegadores principales, pero hay pequeñas diferencias de implementación entre ellos. Estas diferencias se destacaron en las secciones relevantes de esta entrada.
Se está trabajando para resolver todos los problemas de bloqueo restantes, antes de estandarizar la API.
¿Qué es la API de Storage Access?
La API de Storage Access es una API de JavaScript que permite que los iframes soliciten permisos de acceso al almacenamiento cuando, de lo contrario, la configuración del navegador les denegaría el acceso. Las incorporaciones con casos de uso que dependen de la carga de recursos entre sitios pueden usar la API para solicitar permisos de acceso al usuario según sea necesario.
Si se concede la solicitud de almacenamiento, el iframe tendrá acceso a su almacenamiento y cookies no particionadas, que también están disponibles cuando los usuarios lo visitan como sitio de nivel superior.
La API de Storage Access permite que se proporcione acceso al almacenamiento y las cookies no particionadas específicas con una carga mínima para el usuario final, al tiempo que evita el acceso genérico de cookies y almacenamiento, como se usa a menudo para el seguimiento de usuarios.
Casos de uso
Algunos incorporaciones de terceros requieren acceso a cookies o almacenamiento no particionados para proporcionar una mejor experiencia al usuario, algo que no estará disponible cuando se restrinjan las cookies de terceros y se habilite la partición de almacenamiento.
En los casos de uso, se incluye lo siguiente:
- Widgets de comentarios incorporados que requieren detalles de la sesión de acceso.
- "Me gusta" en las redes sociales que requieren detalles de la sesión de acceso.
- Documentos incorporados que requieren detalles de la sesión de acceso
- Es una experiencia premium que se proporciona a un video incorporado (por ejemplo, para no mostrar anuncios a los usuarios que accedieron a sus cuentas, conocer las preferencias del usuario respecto a los subtítulos o restringir ciertos tipos de videos).
- Sistemas de pago incorporados
Muchos de estos casos de uso implican mantener el acceso a los iframes incorporados.
Cuándo usar la API de Storage Access en lugar de otras APIs
La API de Storage Access es una de las alternativas al uso de cookies no particionadas y almacenamiento, por lo que es importante comprender cuándo usar esta API en comparación con las otras. Está dirigido a casos de uso en los que se cumplen las siguientes condiciones:
- El usuario interactuará con el contenido incorporado, es decir, no es un iframe pasivo ni oculto.
- El usuario visitó el origen incorporado en un contexto de nivel superior, es decir, cuando ese origen no está incorporado en otro sitio.
Existen APIs alternativas para una variedad de casos de uso:
- Las cookies con estado particionado independiente (CHIPS) permiten a los desarrolladores habilitar la opción de “particionada” en una cookie. con un almacén de cookies independiente para cada sitio de nivel superior. Por ejemplo, un widget de chat web de terceros puede depender de la configuración de una cookie para guardar información de la sesión. La información de la sesión se guarda por sitio, por lo que no es necesario acceder a la cookie que establece el widget en otros sitios web donde también está incorporada. La API de Storage Access es útil cuando un widget de terceros incorporado depende de compartir la misma información en distintos orígenes (por ejemplo, para los detalles o las preferencias de la sesión de acceso).
- La partición del almacenamiento permite que los iframes entre sitios usen mecanismos de almacenamiento de JavaScript existentes mientras dividen el almacenamiento subyacente por sitio. Esto evita que la misma incorporación acceda al almacenamiento incorporado en un sitio web en otros sitios web.
- Los Conjuntos de sitios web relacionados (RWS) son el método que tiene una organización para declarar relaciones entre sitios, de modo que los navegadores permitan el acceso limitado al almacenamiento y las cookies no particionadas para fines específicos. Los sitios aún deben solicitar acceso con la API de Storage Access, pero para los sitios del conjunto, el acceso se puede otorgar sin que el usuario lo solicite.
- Federated Credential Management (FedCM) es un enfoque de los servicios de identidad federada que preserva la privacidad. La API de Storage Access se ocupa de acceder a cookies no particionadas y almacenamiento posterior al acceso. En algunos casos de uso, FedCM proporciona una solución alternativa a la API de Storage Access, y puede ser la mejor opción, ya que presenta una solicitud de navegador más orientada al acceso. Sin embargo, adoptar FedCM suele requerir cambios adicionales en tu código, por ejemplo, para admitir sus extremos HTTP.
- También existen APIs antifraude, relacionadas con anuncios y de medición, y la API de Storage Access no está diseñada para abordar esas inquietudes.
Usa la API de Storage Access
La API de Storage Access tiene dos métodos basados en promesas:
Document.hasStorageAccess()
(también disponible con el nombre nuevoDocument.hasUnpartitionedCookieAccess()
a partir de Chrome 125)Document.requestStorageAccess()
También se integra en la API de Permissions. Esto te permite verificar el estado del permiso de acceso al almacenamiento en un contexto de terceros, lo que indica si se otorgaría automáticamente una llamada a document.requestStorageAccess()
:
Usa el método hasStorageAccess()
Cuando un sitio se carga por primera vez, puede usar el método hasStorageAccess()
para verificar si ya se otorgó el acceso a cookies de terceros.
// Set a hasAccess boolean variable which defaults to false.
let hasAccess = false;
async function handleCookieAccessInit() {
if (!document.hasStorageAccess) {
// Storage Access API is not supported so best we can do is
// hope it's an older browser that doesn't block 3P cookies.
hasAccess = true;
} else {
// Check whether access has been granted using the Storage Access API.
// Note on page load this will always be false initially so we could be
// skipped in this example, but including for completeness for when this
// is not so obvious.
hasAccess = await document.hasStorageAccess();
if (!hasAccess) {
// Handle the lack of access (covered later)
}
}
if (hasAccess) {
// Use the cookies.
}
}
handleCookieAccessInit();
El acceso al almacenamiento solo se otorga a un documento iframe después de que llama a requestStorageAccess(),
, por lo que hasStorageAccess()
siempre mostrará el valor "false" al principio, excepto cuando ya se haya otorgado acceso a otro documento del mismo origen en el mismo iframe. El otorgamiento se conserva en las navegaciones del mismo origen dentro del iframe específicamente para permitir las recargas después de otorgar acceso a las páginas que requieren la presencia de cookies en la solicitud inicial del documento HTML.
Usa requestStorageAccess()
Si el iframe no tiene acceso, es posible que debas solicitarlo con el método requestStorageAccess()
:
if (!hasAccess) {
try {
await document.requestStorageAccess();
} catch (err) {
// Access was not granted and it may be gated behind an interaction
return;
}
}
La primera vez que se solicita, es posible que el usuario deba aprobar este acceso con un mensaje del navegador. Después de eso, se resolverá la promesa, o se rechazará y se generará una excepción si se usa await
.
Para evitar abusos, este mensaje del navegador solo se mostrará después de la interacción del usuario. Por ello, en un principio, se debe llamar a requestStorageAccess()
desde un controlador de eventos activado por el usuario, en lugar de hacerlo inmediatamente mientras se carga el iframe:
async function doClick() {
// Only do this extra check if access hasn't already been given
// based on the hasAccess variable.
if (!hasAccess) {
try {
await document.requestStorageAccess();
hasAccess = true; // Can assume this was true if requestStorageAccess() did not reject.
} catch (err) {
// Access was not granted.
return;
}
}
if (hasAccess) {
// Use the cookies
}
}
document.querySelector('#my-button').addEventListener('click', doClick);
Si necesitas usar el almacenamiento local en lugar de cookies, puedes hacer lo siguiente:
let handle = null;
async function doClick() {
if (!handle) {
try {
handle = await document.requestStorageAccess({localStorage: true});
} catch (err) {
// Access was not granted.
return;
}
}
// Use handle to access unpartitioned local storage.
handle.localStorage.setItem('foo', 'bar');
}
document.querySelector('#my-button').addEventListener('click', doClick);
Mensajes de permisos
Cuando el usuario haga clic en el botón por primera vez, aparecerá el mensaje del navegador automáticamente, generalmente en la barra de direcciones. La siguiente captura de pantalla muestra un ejemplo de la instrucción de Chrome, pero otros navegadores tienen una IU similar:
Es posible que el navegador omita el mensaje y que se proporcione el permiso automáticamente en determinadas circunstancias:
- Si la página y el iframe se usaron en los últimos 30 días después de aceptar la solicitud.
- Si el iframe incorporado forma parte de un Conjunto de sitios web relacionados
- En Firefox, también se omite la solicitud para los sitios web conocidos (aquellos con los que interactuaste en el nivel superior) durante los primeros cinco intentos.
Como alternativa, en ciertas circunstancias, es posible que se rechace automáticamente el método sin mostrar el mensaje:
- Si el usuario no visitó el sitio que posee el iframe ni interactuó con él anteriormente como un documento de nivel superior, no en un iframe. Esto significa que la API de Storage Access solo es útil para sitios incorporados que los usuarios visitaron anteriormente en un contexto propio.
- Si se llama al método
requestStorageAccess()
fuera de un evento de interacción del usuario sin aprobación previa de la instrucción después de una interacción.
Si bien se le solicitará al usuario en el uso inicial, las visitas posteriores pueden resolver requestStorageAccess()
sin un mensaje y sin requerir interacción del usuario en Chrome y Firefox. Ten en cuenta que Safari siempre requiere la interacción del usuario.
Como se puede otorgar acceso a cookies y almacenamiento sin un mensaje o sin interacción del usuario, a menudo es posible obtener acceso de cookies o almacenamiento no particionado antes de que el usuario interactúe en navegadores compatibles (Chrome y Firefox) llamando a requestStorageAccess()
cuando se carga la página. Esto puede permitirte acceder de inmediato al almacenamiento y las cookies no particionadas, y proporcionar una experiencia más completa, incluso antes de que el usuario interactúe con el iframe. Esto puede brindar una mejor experiencia del usuario en algunas situaciones que esperar su interacción.
Usa la consulta de permisos storage-access
Para verificar si se puede otorgar el acceso sin una interacción del usuario, puedes verificar el estado del permiso storage-access
y solo realizar la llamada a requestStoreAccess()
antes si no se requiere ninguna acción del usuario, en lugar de llamarla y hacer que falle cuando se requiera una interacción.
Esto también te permite manejar potencialmente la necesidad de un mensaje por adelantado mostrando contenido diferente, como un botón de acceso.
El siguiente código agrega la verificación de permisos storage-access
al ejemplo anterior:
// Set a hasAccess boolean variable which defaults to false except for
// browsers which don't support the API - where we assume
// such browsers also don't block third-party cookies.
let hasAccess = false;
async function hasCookieAccess() {
// Check if Storage Access API is supported
if (!document.requestStorageAccess) {
// Storage Access API is not supported so best we can do is
// hope it's an older browser that doesn't block 3P cookies.
return true;
}
// Check if access has already been granted
if (await document.hasStorageAccess()) {
return true;
}
// Check the storage-access permission
// Wrap this in a try/catch for browsers that support the
// Storage Access API but not this permission check
// (e.g. Safari and earlier versions of Firefox).
let permission;
try {
permission = await navigator.permissions.query(
{name: 'storage-access'}
);
} catch (error) {
// storage-access permission not supported. Assume no cookie access.
return false;
}
if (permission) {
if (permission.state === 'granted') {
// Permission has previously been granted so can just call
// requestStorageAccess() without a user interaction and
// it will resolve automatically.
try {
await document.requestStorageAccess();
return true;
} catch (error) {
// This shouldn't really fail if access is granted, but return false
// if it does.
return false;
}
} else if (permission.state === 'prompt') {
// Need to call requestStorageAccess() after a user interaction
// (potentially with a prompt). Can't do anything further here,
// so handle this in the click handler.
return false;
} else if (permission.state === 'denied') {
// Not used: see https://github.com/privacycg/storage-access/issues/149
return false;
}
}
// By default return false, though should really be caught by earlier tests.
return false;
}
async function handleCookieAccessInit() {
hasAccess = await hasCookieAccess();
if (hasAccess) {
// Use the cookies.
}
}
handleCookieAccessInit();
iframes de zona de pruebas
Cuando se usa la API de Storage Access en iframes con zona de pruebas, se requieren los siguientes permisos de zona de pruebas:
- Se requiere
allow-storage-access-by-user-activation
para permitir el acceso a la API de Storage Access. allow-scripts
es necesario para permitir el uso de JavaScript para llamar a la API.- Se requiere
allow-same-origin
para permitir el acceso a las cookies del mismo origen y a otro almacenamiento.
Por ejemplo:
<iframe sandbox="allow-storage-access-by-user-activation
allow-scripts
allow-same-origin"
src="..."></iframe>
Requisitos para las cookies
Para acceder a la API de Storage Access en Chrome, las cookies entre sitios deben configurarse con los siguientes dos atributos:
SameSite=None
, que es necesario para marcar la cookie como entre sitiosSecure
, que garantiza que solo se pueda acceder a las cookies establecidas por los sitios HTTPS
En Firefox y Safari, las cookies se establecen de forma predeterminada en SameSite=None
y no restringen las cookies de SAA a Secure
, por lo que estos atributos no son obligatorios. Se recomienda ser explícito sobre el atributo SameSite
y usar siempre cookies de Secure
.
Acceso a la página de nivel superior
La API de Storage Access está diseñada para habilitar el acceso a cookies de terceros dentro de iframes incorporados.
También hay otros casos de uso en los que la página de nivel superior requiere acceso a cookies de terceros. Por ejemplo, imágenes o secuencias de comandos restringidas por cookies, que los propietarios de sitios podrían querer incluir directamente en el documento de nivel superior en lugar de en un iframe. Para abordar este caso de uso, Chrome propuso una extensión para la API de Storage Access que agrega un método requestStorageAccessFor()
.
El método requestStorageAccessFor()
El método requestStorageAccessFor()
funciona de manera similar a requestStorageAccess()
, pero para recursos de nivel superior. Solo se puede usar para sitios dentro de un conjunto de sitios web relacionados para evitar otorgar acceso general a las cookies de terceros.
Para obtener más detalles sobre cómo usar requestStorageAccessFor()
, lee la Guía para desarrolladores sobre Conjuntos de sitios web relacionados.
La consulta de permisos top-level-storage-access
Navegadores compatibles
Al igual que el permiso storage-access
, existe un permiso top-level-storage-access
para verificar si se puede otorgar acceso a requestStorageAccessFor()
.
¿En qué se diferencia la API de Storage Access cuando se usa con RWS?
Cuando se usan conjuntos de sitios web relacionados con la API de Storage Access, algunas funciones adicionales están disponibles como se detalla en la siguiente tabla:
Sin RWS | Con RWS | |
---|---|---|
Requiere un gesto del usuario para iniciar la solicitud de acceso al almacenamiento. | ||
Exige que el usuario visite el origen de almacenamiento solicitado en un contexto de nivel superior antes de otorgar el acceso | ||
Se puede omitir la primera solicitud del usuario | ||
No es necesario llamar a requestStorageAccess si ya se otorgó acceso con anterioridad. |
||
Otorga acceso automáticamente a otros dominios de un sitio web relacionado | ||
Admite requestStorageAccessFor para el acceso de nivel superior a la página. |
Demostración: Configuración y acceso a las cookies
La siguiente demostración muestra cómo se puede acceder a una cookie configurada por ti en la primera pantalla de la demostración en un marco incorporado en el segundo sitio de la demostración:
storage-access-api-demo.glitch.me
La demostración requiere un navegador con las cookies de terceros inhabilitadas:
- Chrome 118 o versiones posteriores con la marca
chrome://flags/#test-third-party-cookie-phaseout
configurada y se reinició el navegador. - Firefox
- Safari
Demostración: Cómo configurar el almacenamiento local
En la siguiente demostración, se muestra cómo acceder a canales de transmisión no particionados desde un iframe de terceros con la API de Acceso a almacenamiento:
https://saa-beyond-cookies.glitch.me/
La demostración requiere Chrome 125 o una versión posterior con la marca test-third-party-cookie-phaseout habilitada.
Recursos
- Lee la especificación para proporcionar acceso a cookies de terceros o sigue y presenta problemas.
- Lee la especificación que proporciona acceso a almacenamiento no particionado o sigue y presenta problemas.
- Documentación y guía de la API.
- Documentación de Chrome sobre el uso de la API de Storage Access en conjuntos de sitios web relacionados