कनेक्शन की अनुमति वाली सूचियों की ओरिजिन ट्रायल: अपने वेब ऐप्लिकेशन के नेटवर्क को सुरक्षित रखें

José Luis Zapata

पब्लिश होने की तारीख: 16 अप्रैल, 2026

वेब ऐप्लिकेशन ज़्यादा जटिल होते जा रहे हैं. खास तौर पर, इंटिग्रेटेड जनरेटिव एआई के बढ़ने की वजह से, उपयोगकर्ता के डेटा को सुरक्षित रखना हमारी पहली प्राथमिकता है. इसलिए, हम कनेक्शन की अनुमति वाली सूचियों के लिए ऑरिजिन ट्रायल का एलान कर रहे हैं. यह सुरक्षा से जुड़ा एक नया तरीका है. इससे दस्तावेज़ों और वर्कर के लिए नेटवर्क सैंडबॉक्स बनाया जाता है.

बैकग्राउंड

मॉडर्न वेब इकोसिस्टम में, संवेदनशील डेटा लगातार क्लाइंट और सर्वर के बीच ट्रांसफ़र होता रहता है. तीसरे पक्ष की स्क्रिप्ट की जटिल सप्लाई चेन और जनरेटिव एआई से डाइनैमिक तरीके से जनरेट किए गए कोड के इस्तेमाल की वजह से, डेटा चोरी होने का खतरा काफ़ी बढ़ जाता है.

नुकसान पहुंचाने वाली स्क्रिप्ट, बंडल की गई लाइब्रेरी में मौजूद कमज़ोरियां या जनरेटिव एआई से जनरेट किए गए कोड में अनचाहे व्यवहार, ऐप्लिकेशन-लेवल की जांचों को बायपास कर सकते हैं. ऐसा करके, वे संवेदनशील जानकारी को बिना अनुमति वाले एंडपॉइंट पर भेज सकते हैं. कॉन्टेंट की सुरक्षा के लिए नीति (सीएसपी), यह कंट्रोल करने का एक असरदार टूल है कि कोई पेज क्या लोड और एक्ज़ीक्यूट कर सकता है. हालांकि, इसकी जटिलता को मैनेज करना मुश्किल हो सकता है, ताकि खास तौर पर यह पाबंदी लगाई जा सके कि कोई पेज कहां कम्यूनिकेट करता है. इससे अक्सर ऐसी नीतियां बनती हैं जिनमें नेटवर्क की अनधिकृत गतिविधि को रोकने के लिए, ज़रूरी शर्तें शामिल नहीं होती हैं.

Connection Allowlists सैंडबॉक्स

कनेक्शन की अनुमति वाली सूचियां, इन जोखिमों को सीधे तौर पर कम करने का तरीका उपलब्ध कराती हैं. इसके लिए, वे ब्राउज़र को आपके पेज से शुरू होने वाले सभी नेटवर्क कनेक्शन का गेटकीपर बना देती हैं. Connection-Allowlist एचटीटीपी रिस्पॉन्स हेडर को शामिल करके, कोई साइट उन यूआरएल पैटर्न के बारे में बताती है जिन्हें उसके कॉन्टेक्स्ट (जैसे, कोई दस्तावेज़ या वेब वर्कर) से शुरू होने वाले सभी नेटवर्क कम्यूनिकेशन के लिए अनुमति दी गई है.

यह सुविधा, फ़्रेमवर्क-लेवल पर "डिफ़ॉल्ट रूप से अनुमति न दें" फ़ायरवॉल लागू करती है. कोई भी कनेक्शन बनाने से पहले, जैसे कि सब-रिसोर्स फ़ेच करना, नेविगेशन रीडायरेक्ट करना या WebSocket कनेक्शन, ब्राउज़र मंज़ूरी वाली सूची में शामिल डेस्टिनेशन की पुष्टि करता है. अगर एंडपॉइंट मेल नहीं खाता है, तो ब्राउज़र नेटवर्क लेवल पर कनेक्शन को ब्लॉक कर देता है. ब्राउज़र, नेटवर्क की सीमाओं को बनाए रखता है. भले ही, कोई नुकसान पहुंचाने वाला कोड ऐप्लिकेशन-लेवल के लॉजिक को बायपास करने की कोशिश करे.

कनेक्शन के लिए अनुमति वाले डोमेन की सूची कैसे काम करती है

कनेक्शन की अनुमति वाली सूचियां, इन जोखिमों को सीधे तौर पर कम करने का तरीका उपलब्ध कराती हैं. इसके लिए, वे ब्राउज़र को आपके पेज से शुरू होने वाले सभी नेटवर्क कनेक्शन का गेटकीपर बना देती हैं. Connection-Allowlist एचटीटीपी रिस्पॉन्स हेडर को शामिल करके, कोई साइट उन यूआरएल पैटर्न के बारे में बताती है जिन्हें उसके कॉन्टेक्स्ट से शुरू होने वाले सभी नेटवर्क कम्यूनिकेशन के लिए अनुमति है. ऑरिजिन ट्रायल के लिए, यह सुविधा सिर्फ़ दस्तावेज़ के कॉन्टेक्स्ट के लिए उपलब्ध है.

कोई भी कनेक्शन स्थापित होने से पहले, जैसे कि सब-रिसोर्स फ़ेच, नेविगेशन रीडायरेक्ट या WebSocket कनेक्शन, ब्राउज़र, डेस्टिनेशन की पुष्टि करता है कि वह अनुमति वाली सूची में शामिल है या नहीं. अगर एंडपॉइंट मेल नहीं खाता है, तो ब्राउज़र नेटवर्क लेवल पर कनेक्शन को ब्लॉक कर देता है. इससे यह पक्का होता है कि नेटवर्क की सीमाएं बनी रहें. भले ही, नुकसान पहुंचाने वाला कोड ऐप्लिकेशन-लेवल के लॉजिक को बायपास करने की कोशिश करे.

response-origin टोकन का इस्तेमाल करना

response-origin टोकन का इस्तेमाल किया जा सकता है. यह टोकन, अनुमति वाली सूची में उस ऑरिजिन को डाइनैमिक तरीके से जोड़ता है जिससे रिस्पॉन्स दिया जाता है:

Connection-Allowlist: ("https://api.example.com/*" response-origin)

इस उदाहरण में, पेज अपने ऑरिजिन के किसी भी पाथ और तय किए गए एपीआई एंडपॉइंट से कनेक्ट हो सकता है.

उल्लंघनों की शिकायत करना

अपनी साइट की फ़ंक्शनैलिटी में रुकावट डाले बिना संभावित समस्याओं को मॉनिटर करने के लिए, Connection-Allowlist-Report-Only हेडर का इस्तेमाल किया जा सकता है. यह वैरिएंट, नीति को पार्स करता है. साथ ही, Reporting API का इस्तेमाल करके, उल्लंघन की रिपोर्ट को तय किए गए एंडपॉइंट पर भेजता है.

Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint

इस्तेमाल के मुख्य उदाहरण

कनेक्शन की अनुमति वाली सूचियां, ज़्यादा सुरक्षा वाले या डाइनैमिक एनवायरमेंट के लिए फ़ायदेमंद होती हैं:

• जनरेटिव एआई और भरोसेमंद न होने वाला कोड: अगर आपकी साइट पर लोगों को जनरेट किए गए या भरोसेमंद न होने वाले कोड को लागू करने की सुविधा मिलती है, तो कनेक्शन की अनुमति वाली सूचियां, कोड को बाहरी डोमेन पर डेटा भेजने से रोक सकती हैं. उदाहरण के लिए, Sheets Canvas या डेवलपमेंट सैंडबॉक्स में.
• तीसरे पक्ष की निगरानी: यह पक्का किया जा सकता है कि अगर तीसरे पक्ष की कोई स्क्रिप्ट सुरक्षित नहीं है, तो वह ऐसे सर्वर पर डेटा नहीं भेज सकती जिन्हें इसकी अनुमति नहीं है.
• आर्किटेक्चर से जुड़ी सुरक्षा: अपने ऐप्लिकेशन के संवेदनशील हिस्सों के लिए, नेटवर्क की सख्त सीमा लागू करें. इससे यह पक्का किया जा सकेगा कि सिर्फ़ मंज़ूरी वाले बैकएंड के साथ कम्यूनिकेट किया जा रहा है.

कॉन्टेंट की सुरक्षा के बारे में नीति से जुड़े अंतर

कनेक्शन के लिए अनुमति वाली सूचियों और सीएसएपी के लक्ष्य एक जैसे होते हैं. हालांकि, ये एक-दूसरे के पूरक हैं:

• नेटवर्क-लेवल पर फ़ोकस: कनेक्शन की अनुमति वाली सूचियों में, नेटवर्क कनेक्शन के डेस्टिनेशन पर फ़ोकस किया जाता है. इसमें यह नहीं देखा जाता कि किसी संसाधन को कैसे लोड या एक्ज़ीक्यूट किया जाता है.
• ज़्यादा कवरेज: यह नेविगेशन, रीडायरेक्ट, और अलग-अलग वेब प्लैटफ़ॉर्म एपीआई को एक साथ कवर करता है. जैसे, फ़ेच, WebRTC, WebTransport, डीएनएस प्रीफ़ेच, और प्रीलोड.
• आसान सिंटैक्स: कनेक्शन की अनुमति वाली सूचियां, किसी एक टास्क पर फ़ोकस करती हैं. इससे कॉन्फ़िगरेशन और सुरक्षा ऑडिट आसान हो जाता है.

कनेक्शन की अनुमति वाली सूचियों के साथ एक्सपेरिमेंट करना

Connection Allowlists की सुविधा, स्थानीय टेस्टिंग के लिए उपलब्ध है. ऑरिजिन ट्रायल, Chrome 148 से Chrome 151 तक चलेगा. ऑरिजिन ट्रायल के दौरान, इस सुविधा में लगातार नई सुविधाएं जोड़ी जाती हैं. इस ट्रायल की शुरुआत में, रिपोर्टिंग की सुविधा सिर्फ़ दस्तावेज़ों के लिए उपलब्ध है. डेडिकेटेड, शेयर किए गए, और सर्विस वर्कर के लिए यह सुविधा उपलब्ध नहीं है. ऑरिजिन ट्रायल के लिए रजिस्टर करें सेक्शन में, इस बारे में ज़्यादा जानकारी दी गई है कि कौनसी सुविधाएं काम करती हैं.

लोकल तौर पर टेस्ट करना

1. फ़्लैग चालू करें: Chrome खोलें और chrome://flags/#connection-allowlist पर जाएं. फ़्लैग को चालू है पर सेट करें.
2. हेडर डिप्लॉय करें: अपने लोकल डेवलपमेंट सर्वर को Connection-Allowlist एचटीटीपी रिस्पॉन्स हेडर भेजने के लिए कॉन्फ़िगर करें. उदाहरण के लिए, Connection-Allowlist: ("https://api.example.com/*" response-origin).
3. DevTools की मदद से पुष्टि करना: Chrome DevTools खोलें और ऐसे ऐक्शन करें जिनसे नेटवर्क अनुरोध ट्रिगर होते हैं.
   • नेटवर्क पैनल: "ब्लॉक किया गया:अन्य" के तौर पर मार्क किए गए अनुरोधों या कनेक्शन से जुड़ी गड़बड़ी दिखाने वाले अनुरोधों की जांच करें.
   • समस्याएं टैब: अगर आपके हेडर में पार्सिंग से जुड़ी कोई गड़बड़ी हुई है, तो पूरी जानकारी वाली रिपोर्ट देखें.

ऑरिजिन ट्रायल के लिए रजिस्टर करना

लोकल टेस्टिंग, डेवलपमेंट के लिए बहुत अच्छी है. हालांकि, प्रोडक्शन में उपयोगकर्ताओं के लिए कनेक्शन की अनुमति वाली सूचियां चालू करने के लिए, आपको ऑरिजिन ट्रायल के लिए रजिस्टर करना होगा.

1. Chrome के ऑरिजिन ट्रायल डैशबोर्ड पर जाएं.
2. Connection Allowlists की ऑरिजिन ट्रायल ढूंढें और रजिस्टर करें पर क्लिक करें.
3. जनरेट किए गए टोकन को अपनी साइट के पेजों या हेडर में जोड़ें. इसके लिए, ऑरिजिन ट्रायल शुरू करना गाइड में दिया गया तरीका अपनाएं.

ऑरिजिन ट्रायल, Chrome 148 से Chrome 151 तक चलेगा. ओरिजिन ट्रायल के दौरान, नई सुविधाएं जोड़ी जाती रहेंगी. इसलिए, हमारा सुझाव है कि कनेक्शन की अनुमति वाली सूचियों की जांच करते समय, वेब सुरक्षा के मौजूदा तरीकों का इस्तेमाल जारी रखें. एक्सपेरिमेंट करने का इरादा दस्तावेज़ में, कनेक्शन की अनुमति वाली सूचियों को लागू करने के दौरान शामिल किए गए नेटवर्क एंडपॉइंट के बारे में ज़्यादा जानकारी दी गई है.

सुझाव दें

सुविधा के डिज़ाइन और उसके इस्तेमाल के बारे में सुझाव, शिकायत या राय दें. अगर आपको कोई समस्या आ रही है या इसे बेहतर बनाने के लिए आपके पास कोई सुझाव है, तो इस टीम से संपर्क करें:

• GitHub: WICG/connection-allowlists रिपॉज़िटरी में कोई समस्या खोलें या किसी मौजूदा समस्या पर टिप्पणी करें.
• Chromium बग ट्रैकर: Chromium बग ट्रैकर में कोई समस्या दर्ज करें.

अन्य संसाधन

• Connection-Allowlist की जानकारी
• GitHub रिपॉज़िटरी
• ChromeStatus: Connection Allowlists