Publié le : 16 avril 2026
Les applications Web devenant de plus en plus complexes, en particulier avec l'essor de l'IA générative intégrée, la protection des données utilisateur est une priorité absolue. C'est pourquoi nous annonçons l'origin trial pour les listes d'autorisation de connexion, un nouveau mécanisme de sécurité qui crée un bac à sable réseau pour les documents et les workers.
Arrière-plan
Dans un écosystème Web moderne, les données sensibles sont constamment transférées entre les clients et les serveurs. Cette mobilité, combinée à une chaîne d'approvisionnement complexe de scripts tiers et à l'essor du code généré dynamiquement par l'IA générative, augmente considérablement le risque d'exfiltration de données.
Les scripts malveillants, les failles de sécurité dans les bibliothèques groupées ou les comportements indésirables dans le code généré par l'IA générative peuvent contourner les vérifications au niveau de l'application pour envoyer des informations sensibles à des points de terminaison non autorisés. Bien que la Content Security Policy (CSP) soit un outil puissant pour contrôler ce qu'une page peut charger et exécuter, il peut être difficile de gérer sa complexité pour restreindre spécifiquement les endroits où une page communique. Cela conduit souvent à des règles générales qui laissent la place à des activités réseau non autorisées.
Bac à sable des listes d'autorisation de connexion
Les listes d'autorisation de connexion constituent une méthode directe pour faire face à ces risques en faisant du navigateur le gardien de toutes les connexions réseau provenant de votre page. En incluant l'en-tête de réponse HTTP Connection-Allowlist, un site spécifie les modèles d'URL exacts autorisés pour toutes les communications réseau initiées par son contexte, comme un document ou un Web Worker.
Cette fonctionnalité applique un pare-feu "refuser par défaut" au niveau du framework. Avant d'établir une connexion (par exemple, une récupération de sous-ressource, une redirection de navigation ou une connexion WebSocket), le navigateur vérifie la destination par rapport à la liste d'autorisation. Si le point de terminaison ne correspond pas, le navigateur bloque la connexion au niveau du réseau. Le navigateur maintient les limites du réseau, même si un code malveillant tente de contourner la logique au niveau de l'application.
Fonctionnement des listes d'autorisation de connexion
Les listes d'autorisation de connexion constituent une méthode directe pour faire face à ces risques en faisant du navigateur le gardien de toutes les connexions réseau provenant de votre page. En incluant l'en-tête de réponse HTTP Connection-Allowlist, un site spécifie les modèles d'URL exacts autorisés pour toutes les communications réseau initiées par son contexte. Pour l'évaluation d'origine, cela n'est possible que pour les contextes de document.
Avant d'établir une connexion (par exemple, une récupération de sous-ressource, une redirection de navigation ou une connexion WebSocket), le navigateur vérifie la destination par rapport à la liste d'autorisation. Si le point de terminaison ne correspond pas, le navigateur bloque la connexion au niveau du réseau. Cela garantit que les limites du réseau sont maintenues même si un code malveillant tente de contourner la logique au niveau de l'application.
Utiliser le jeton response-origin
Vous pouvez utiliser le jeton response-origin, qui ajoute dynamiquement l'origine à partir de laquelle la réponse est diffusée à la liste d'autorisation :
Connection-Allowlist: ("https://api.example.com/*" response-origin)
Dans cet exemple, la page peut se connecter à n'importe quel chemin d'accès sur son origine et au point de terminaison d'API spécifié.
Signaler des cas de non-respect
Pour surveiller les problèmes potentiels sans perturber le fonctionnement de votre site, vous pouvez utiliser l'en-tête Connection-Allowlist-Report-Only. Cette variante analyse le règlement et envoie des rapports sur les cas de non-respect à un point de terminaison spécifié à l'aide de l'API Reporting.
Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint
Principaux cas d'utilisation
Les listes d'autorisation de connexion sont utiles pour les environnements dynamiques ou à sécurité élevée :
- IA générative et code non fiable : si votre site permet aux utilisateurs d'exécuter du code généré ou non fiable, par exemple dans le canevas Sheets ou les bacs à sable de développement, les listes d'autorisation de connexion peuvent empêcher le code d'exfiltrer des données vers des domaines externes.
- Supervision par des tiers : vous pouvez vous assurer que même si un script tiers est piraté, il ne peut pas envoyer de données à des serveurs non autorisés.
- Mesures de protection architecturales : appliquez une limite de réseau stricte pour les parties sensibles de votre application, en veillant à ce qu'elle ne communique qu'avec les backends approuvés.
Différences par rapport à la Content Security Policy
Bien que les listes d'autorisation de connexion et la CSP aient des objectifs similaires, elles sont complémentaires :
- Accent mis sur le niveau réseau : les listes d'autorisation de connexion se concentrent sur la destination des connexions réseau, plutôt que sur la façon dont une ressource est chargée ou exécutée.
- Couverture complète : elle couvre les navigations, les redirections et diverses API de plate-forme Web, par exemple Fetch, WebRTC, WebTransport, la prélecture DNS et le préchargement, de manière unifiée.
- Syntaxe simplifiée : les listes d'autorisation de connexion se concentrent sur une seule tâche, ce qui simplifie la configuration et l'audit de sécurité.
Tester les listes d'autorisation de connexion
La fonctionnalité de listes d'autorisation de connexion est disponible pour les tests locaux. L'origin trial devrait se dérouler de Chrome 148 à Chrome 151. Des fonctionnalités continuent d'être ajoutées au fur et à mesure de l'avancement de l'Origin Trial. Au début de cet essai, la fonctionnalité de création de rapports est limitée aux contextes de document. Les workers dédiés, partagés et de service ne sont pas pris en charge. Pour en savoir plus sur les éléments compatibles, consultez la section S'inscrire à l'Origin Trial.
Tester en local
- Activez le flag : ouvrez Chrome et accédez à
chrome://flags/#connection-allowlist. Définissez l'indicateur sur Activé. - Déployez l'en-tête : configurez votre serveur de développement local pour qu'il envoie l'en-tête de réponse HTTP
Connection-Allowlist. Exemple :Connection-Allowlist: ("https://api.example.com/*" response-origin). - Vérifiez avec les outils de développement : ouvrez les outils pour les développeurs Chrome et effectuez des actions qui déclenchent des requêtes réseau.
- Panneau Réseau : recherchez les requêtes "bloquées : autre" ou qui affichent une erreur de connexion.
- Onglet Problèmes : recherchez des rapports détaillés si des erreurs d'analyse ont été détectées dans votre en-tête.
S'inscrire à la version d'évaluation de l'origine
Bien que les tests locaux soient utiles pour le développement, vous devez vous inscrire à l'Origin Trial pour activer les listes d'autorisation de connexion pour vos utilisateurs en production.
- Accédez au tableau de bord des phases d'évaluation d'origine Chrome.
- Recherchez l'étude pilote Listes d'autorisation de connexion et cliquez sur S'inscrire.
- Ajoutez le jeton généré aux pages ou aux en-têtes de votre site, comme décrit dans le guide Premiers pas avec les tests d'origine.
La phase d'évaluation est prévue de Chrome 148 à Chrome 151. De nouvelles fonctionnalités sont ajoutées au fur et à mesure de l'avancement de l'origin trial. Nous vous encourageons donc vivement à continuer à utiliser vos mécanismes de sécurité Web existants lorsque vous testez les listes d'autorisation de connexion. La section Intention d'expérimentation fournit plus de détails sur les points de terminaison réseau couverts par l'implémentation des listes d'autorisation de connexion.
Envoyer des commentaires
Faites-nous part de vos commentaires sur la conception et l'utilité de la fonctionnalité. Si vous rencontrez des problèmes ou si vous avez des suggestions d'amélioration, contactez l'équipe :
- GitHub : signalez un problème ou commentez-en un existant dans le dépôt
WICG/connection-allowlists. - Outil Chromium de suivi des bugs : créez un problème dans l'outil Chromium de suivi des bugs.