مرحلة التجربة والتقييم لقوائم السماح بالاتصال: تأمين شبكة تطبيق الويب

José Luis Zapata

تاريخ النشر: 16 أبريل 2026

مع ازدياد تعقيد تطبيقات الويب، خاصةً مع تزايد استخدام الذكاء الاصطناعي التوليدي المتكامل، أصبحت حماية بيانات المستخدمين أولوية قصوى. لهذا السبب، نعلن عن مرحلة التجربة والتقييم لقوائم الاتصالات المسموح بها، وهي آلية أمان جديدة تنشئ وضع حماية للشبكة من أجل المستندات والعاملين.

خلفية

في نظام الويب الحديث، يتم نقل البيانات الحساسة باستمرار بين العملاء والخوادم. تؤدي هذه الإمكانية، بالإضافة إلى سلسلة الإمداد المعقدة للنصوص البرمجية التابعة لجهات خارجية وتزايد استخدام الرموز البرمجية التي يتم إنشاؤها ديناميكيًا من الذكاء الاصطناعي التوليدي، إلى زيادة خطر استخراج البيانات بشكل كبير.

يمكن أن تتجاوز النصوص البرمجية الضارة أو الثغرات الأمنية في المكتبات المجمّعة أو السلوكيات غير المقصودة في الرموز البرمجية التي يتم إنشاؤها باستخدام الذكاء الاصطناعي التوليدي عمليات التحقّق على مستوى التطبيق لإرسال معلومات حساسة إلى نقاط نهاية غير مصرّح بها. على الرغم من أنّ سياسة أمان المحتوى (CSP) هي أداة فعّالة للتحكّم في المحتوى الذي يمكن للصفحة تحميله وتنفيذه، قد يكون من الصعب إدارة تعقيدها لتقييد الأماكن التي تتواصل فيها الصفحة على وجه التحديد. يؤدي ذلك غالبًا إلى وضع سياسات واسعة تسمح بنشاط الشبكة غير المصرّح به.

وضع الحماية لقوائم الاتصالات المسموح بها

توفّر قوائم الاتصالات المسموح بها طريقة مباشرة لمعالجة هذه المخاطر من خلال جعل المتصفّح هو المسؤول عن جميع اتصالات الشبكة الصادرة من صفحتك. من خلال تضمين رأس استجابة HTTP Connection-Allowlist، يحدّد الموقع الإلكتروني أنماط عناوين URL الدقيقة المسموح بها لجميع اتصالات الشبكة التي يبدأها السياق، مثل مستند أو عامل ويب.

تفرض هذه الميزة جدار حماية على مستوى الإطار "يمنع كل شيء تلقائيًا". قبل إنشاء أي اتصال، مثلاً جلب مورد فرعي أو عملية إعادة توجيه للتنقّل أو اتصال WebSocket، يتحقّق المتصفّح من الوجهة مقارنةً بالقائمة المسموح بها. إذا لم تتطابق نقطة النهاية، يحظر المتصفّح الاتصال على مستوى الشبكة. يحافظ المتصفّح على حدود الشبكة حتى إذا حاولت رموز برمجية ضارة تجاوز المنطق على مستوى التطبيق.

آلية عمل قوائم الاتصالات المسموح بها

توفّر قوائم الاتصالات المسموح بها طريقة مباشرة لمعالجة هذه المخاطر من خلال جعل المتصفّح هو المسؤول عن جميع اتصالات الشبكة الصادرة من صفحتك. من خلال تضمين رأس استجابة HTTP Connection-Allowlist، يحدّد الموقع الإلكتروني أنماط عناوين URL الدقيقة المسموح بها لجميع اتصالات الشبكة التي يبدأها السياق. بالنسبة إلى مرحلة التجربة والتقييم، لا تتوفّر هذه الميزة إلا لسياقات المستندات.

قبل إنشاء أي اتصال، مثلاً جلب مورد فرعي أو عملية إعادة توجيه للتنقّل أو اتصال WebSocket، يتحقّق المتصفّح من الوجهة مقارنةً بالقائمة المسموح بها. إذا لم تتطابق نقطة النهاية، يحظر المتصفّح الاتصال على مستوى الشبكة. يضمن ذلك الحفاظ على حدود الشبكة حتى إذا حاولت رموز برمجية ضارة تجاوز المنطق على مستوى التطبيق.

استخدام الرمز response-origin

يمكنك استخدام الرمز response-origin الذي يضيف ديناميكيًا المصدر الذي يتم منه عرض الاستجابة إلى القائمة المسموح بها:

Connection-Allowlist: ("https://api.example.com/*" response-origin)

في هذا المثال، يمكن للصفحة الاتصال بأي مسار على مصدرها ونقطة نهاية واجهة برمجة التطبيقات المحدّدة.

الإبلاغ عن الانتهاكات

لمراقبة المشاكل المحتمَلة بدون التأثير في وظائف موقعك الإلكتروني، يمكنك استخدام الرأس Connection-Allowlist-Report-Only. يحلّل هذا المتغيّر السياسة ويرسل تقارير الانتهاكات إلى نقطة نهاية محدّدة باستخدام Reporting API.

Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint

أبرز حالات الاستخدام

تكون قوائم الاتصالات المسموح بها مفيدة في البيئات الديناميكية أو التي تتطلّب مستوى أمان عاليًا:

• الذكاء الاصطناعي التوليدي والرموز البرمجية غير الموثوق بها: إذا كان موقعك الإلكتروني يسمح للمستخدمين بتنفيذ رموز برمجية تم إنشاؤها أو غير موثوق بها، مثلاً في لوحة الرسم في "جداول بيانات Google" أو في وضع الحماية الخاص بالتطوير، يمكن أن تمنع قوائم الاتصالات المسموح بها الرموز البرمجية من تسريب البيانات إلى نطاقات خارجية.
• الإشراف على الجهات الخارجية: يمكنك التأكّد من أنّه حتى إذا تم اختراق نص برمجي تابع لجهة خارجية، لن يتمكّن من إرسال البيانات إلى خوادم غير مصرّح بها.
• إجراءات الحماية المعمارية: يمكنك فرض حدّ صارم للشبكة على الأجزاء الحساسة من تطبيقك، ما يضمن التواصل فقط مع الأنظمة الخلفية المعتمدة.

الاختلافات عن "سياسة أمان المحتوى"

على الرغم من أنّ قوائم الاتصالات المسموح بها و"سياسة أمان المحتوى" (CSP) تشتركان في الأهداف نفسها، إلا أنّهما مكمّلتان لبعضهما:

• التركيز على مستوى الشبكة: تركز قوائم الاتصالات المسموح بها على وجهة اتصالات الشبكة، بدلاً من كيفية تحميل مورد أو تنفيذه.
• تغطية شاملة: تغطي هذه القوائم عمليات التنقّل وعمليات إعادة التوجيه ومختلف واجهات برمجة تطبيقات منصة الويب، مثلاً Fetch وWebRTC وWebTransport وDNS prefetch وpreload، بطريقة موحّدة.
• بنية مبسطة: تركز قوائم الاتصالات المسموح بها على مهمة واحدة، ما يسهّل عملية الضبط والتدقيق الأمني.

تجربة قوائم الاتصالات المسموح بها

تتوفّر ميزة قوائم الاتصالات المسموح بها للاختبار المحلي. من المقرّر أن يتم إجراء التجربة الأساسية من Chrome 148 إلى Chrome 151. تتم إضافة الوظائف باستمرار مع تقدّم مرحلة التجربة والتقييم. في بداية هذه الفترة التجريبية، تقتصر وظيفة إعداد التقارير على سياقات المستندات، ولا تتوافق مع العاملين المخصّصين والعاملين المشترَكين ومشغّلي الخدمات. يمكنك الاطّلاع على مزيد من التفاصيل حول الميزات المتوافقة في قسم التسجيل في مرحلة التجربة والتقييم.

الاختبار محليًا

1. تفعيل العلامة: افتح Chrome وانتقِل إلى chrome://flags/#connection-allowlist. اضبط العلامة على مفعَّلة.
2. نشر الرأس: اضبط خادم التطوير المحلي لإرسال عنوان استجابة HTTP Connection-Allowlist. مثلاً، Connection-Allowlist: ("https://api.example.com/*" response-origin).
3. التحقّق باستخدام "أدوات مطوّري البرامج": افتح "أدوات مطوّري البرامج في Chrome" ونفِّذ الإجراءات التي تؤدي إلى طلبات الشبكة.
   • لوحة الشبكة: ابحث عن الطلبات التي تم حظرها بسبب "أخرى" أو التي تعرض خطأ في الاتصال.
   • علامة التبويب المشاكل: ابحث عن تقارير مفصّلة إذا حدثت أي أخطاء في تحليل الرأس.

التسجيل في مرحلة التجربة والتقييم

على الرغم من أنّ الاختبار المحلي مفيد للتطوير، عليك التسجيل في مرحلة التجربة والتقييم لتفعيل قوائم الاتصالات المسموح بها لمستخدميك في مرحلة الإصدار العلني.

1. انتقِل إلى لوحة بيانات التجارب الأساسية في Chrome.
2. ابحث عن مرحلة التجربة والتقييم قوائم الاتصالات المسموح بها وانقر على تسجيل.
3. أضِف الرمز المميّز الذي تم إنشاؤه إلى صفحات موقعك الإلكتروني أو رؤوسه كما هو موضّح في الـ دليل البدء في التجارب الأساسية.

من المقرّر أن يتم إجراء مرحلة التجربة والتقييم من Chrome 148 إلى Chrome 151. تتم إضافة الوظائف باستمرار مع تقدّم مرحلة التجربة والتقييم، لذا ننصحك بشدة بمواصلة استخدام آليات أمان الويب الحالية أثناء اختبار قوائم الاتصالات المسموح بها. توضّح نية التجربة نقاط نهاية الشبكة التي تغطيها عملية تنفيذ قوائم الاتصالات المسموح بها.

إدخال تعليق

يمكنك إدخال تعليقات حول تصميم الميزة وفائدتها. إذا واجهتك مشاكل أو كانت لديك اقتراحات للتحسينات، يُرجى التواصل مع الفريق:

• GitHub: افتح مشكلة أو علِّق على مشكلة حالية في مستودع WICG/connection-allowlists.
• أداة تتبّع الأخطاء في Chromium: أنشئ مشكلة في أداة تتبّع الأخطاء في Chromium tracker.

مراجع إضافية

• مواصفات قوائم الاتصالات المسموح بها
• مستودع GitHub
• ChromeStatus: قوائم الاتصالات المسموح بها