Fecha de publicación: 16 de abril de 2026
A medida que las aplicaciones web se vuelven más complejas, en especial con el auge de la IA generativa integrada, proteger los datos del usuario es una prioridad. Por eso, anunciamos la prueba de origen de las listas de entidades permitidas de conexión, un nuevo mecanismo de seguridad que crea un sandbox de red para documentos y trabajadores.
Fondo
En un ecosistema web moderno, los datos sensibles se mueven constantemente entre clientes y servidores. Esta movilidad, combinada con una cadena de suministro compleja de secuencias de comandos de terceros y el aumento del código generado de forma dinámica a partir de la IA generativa, aumenta significativamente el riesgo de exfiltración de datos.
Las secuencias de comandos maliciosas, las vulnerabilidades en las bibliotecas agrupadas o los comportamientos no deseados en el código generado por IA generativa pueden omitir las verificaciones a nivel de la aplicación para enviar información sensible a extremos no autorizados. Si bien la Política de Seguridad del Contenido (CSP) es una herramienta potente para controlar lo que una página puede cargar y ejecutar, administrar su complejidad para restringir específicamente dónde se comunica una página puede ser un desafío. Esto suele generar políticas amplias que dejan espacio para la actividad de red no autorizada.
Sandbox de listas de entidades permitidas de conexión
Las listas de entidades permitidas de conexión proporcionan un método directo para abordar estos riesgos, ya que convierten al navegador en el guardián de acceso de todas las conexiones de red que se originan en tu página. Al incluir el encabezado de respuesta HTTP Connection-Allowlist, un sitio especifica los patrones de URL exactos permitidos para toda la comunicación de red que inicia su contexto, como un documento o un trabajador web.
Esta función aplica un firewall de "denegación predeterminada" a nivel del framework. Antes de que se establezca cualquier conexión, por ejemplo, una recuperación de subrecursos, un redireccionamiento de navegación o una conexión WebSocket, el navegador verifica el destino en la lista de entidades permitidas. Si el extremo no coincide, el navegador bloquea la conexión a nivel de la red. El navegador mantiene los límites de la red, incluso si el código malicioso intenta omitir la lógica a nivel de la aplicación.
Cómo funcionan las listas de entidades permitidas de conexión
Las listas de entidades permitidas de conexión proporcionan un método directo para abordar estos riesgos, ya que convierten al navegador en el guardián de acceso de todas las conexiones de red que se originan en tu página. Al incluir el encabezado de respuesta HTTP Connection-Allowlist, un sitio especifica los patrones de URL exactos permitidos para toda la comunicación de red que inicia su contexto. Para la prueba de origen, esto solo es compatible con los contextos de documentos.
Antes de que se establezca cualquier conexión, por ejemplo, una recuperación de subrecursos, un redireccionamiento de navegación o una conexión WebSocket, el navegador verifica el destino en la lista de entidades permitidas. Si el extremo no coincide, el navegador bloquea la conexión a nivel de la red. Esto garantiza que se mantengan los límites de la red, incluso si el código malicioso intenta omitir la lógica a nivel de la aplicación.
Usa el token response-origin
Puedes usar el token response-origin, que agrega de forma dinámica el origen desde el que se entrega la respuesta a la lista de entidades permitidas:
Connection-Allowlist: ("https://api.example.com/*" response-origin)
En este ejemplo, la página puede conectarse a cualquier ruta de acceso en su origen y al endpoint de API especificado.
Denuncia incumplimientos
Para supervisar posibles problemas sin interrumpir la funcionalidad de tu sitio, puedes usar el encabezado Connection-Allowlist-Report-Only. Esta variante analiza la
política y envía informes de incumplimiento a un extremo especificado con la API
de Reporting.
Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint
Casos de uso claves
Las listas de entidades permitidas de conexión son útiles para entornos dinámicos o de alta seguridad:
- IA generativa y código no confiable: Si tu sitio permite que los usuarios ejecuten código generado o no confiable, por ejemplo, en el lienzo de Hojas de cálculo o en sandboxes de desarrollo, las listas de entidades permitidas de conexión pueden evitar que el código exfiltre datos a dominios externos.
- Supervisión de terceros: Puedes asegurarte de que, incluso si se ve comprometida una secuencia de comandos de terceros, no pueda enviar datos a servidores no autorizados.
- Protecciones arquitectónicas: Aplica un límite de red estricto para las partes sensibles de tu aplicación, lo que garantiza la comunicación solo con backends aprobados.
Diferencias con la Política de Seguridad del Contenido
Si bien las listas de entidades permitidas de conexión y la CSP tienen objetivos similares, son complementarias:
- Enfoque a nivel de la red: Las listas de entidades permitidas de conexión se enfocan en el destino de las conexiones de red, en lugar de cómo se carga o ejecuta un recurso.
- Cobertura integral: Cubre navegaciones, redireccionamientos y varias APIs de la plataforma web, por ejemplo, Fetch, WebRTC, WebTransport, precarga de DNS y precarga, de manera unificada.
- Sintaxis simplificada: Las listas de entidades permitidas de conexión se enfocan en una sola tarea, lo que simplifica la configuración y la auditoría de seguridad.
Experimenta con las listas de entidades permitidas de conexión
La función de listas de entidades permitidas de conexión está disponible para pruebas locales. La prueba de origen está programada para ejecutarse desde Chrome 148 hasta Chrome 151. A medida que avanza la prueba de origen, se siguen agregando funciones. Al comienzo de esta prueba, la función de informes se limita a los contextos de documentos; no se admiten los trabajadores dedicados, compartidos ni de servicio. Encontrarás más detalles sobre lo que se admite en la sección Regístrate para la prueba de origen.
Realiza pruebas locales
- Habilita la marca: Abre Chrome y navega a
chrome://flags/#connection-allowlist. Configura la marca como Habilitada. - Implementa el encabezado: Configura tu servidor de desarrollo local para enviar el encabezado de respuesta HTTP
Connection-Allowlist. Por ejemplo,Connection-Allowlist: ("https://api.example.com/*" response-origin). - Verifica con las Herramientas para desarrolladores: Abre las Herramientas para desarrolladores de Chrome y realiza acciones que activen solicitudes de red.
- Panel Red: Busca solicitudes que estén "bloqueadas:otras" o que muestren un error de conexión.
- Pestaña Problemas: Busca informes detallados si hubo errores de análisis en tu encabezado.
Regístrate para la prueba de origen
Si bien las pruebas locales son excelentes para el desarrollo, deberás registrarte en la prueba de origen para habilitar las listas de entidades permitidas de conexión para tus usuarios en producción.
- Navega al panel de pruebas de origen de Chrome.
- Busca la prueba de origen de Connection Allowlists y haz clic en Registrarse.
- Agrega el token generado a las páginas o los encabezados de tu sitio como se describe en la guía Comienza a usar las pruebas de origen.
La prueba de origen está programada para ejecutarse desde Chrome 148 hasta Chrome 151. A medida que avanza la prueba de origen, se siguen agregando funciones, por lo que te recomendamos que sigas usando tus mecanismos de seguridad web existentes mientras pruebas las listas de entidades permitidas de conexión. En la intención de experimentar , se detallan los extremos de red que abarca la implementación de las listas de entidades permitidas de conexión.
Proporcionar comentarios
Envía comentarios sobre el diseño y la utilidad de la función. Si tienes problemas o sugerencias para mejorar, comunícate con el equipo:
- GitHub: Abre un problema o comenta uno existente en el repositorio
WICG/connection-allowlists. - Seguimiento de errores de Chromium: Crea un problema en el seguimiento de errores de Chromium tracker.