Uji coba origin Daftar yang Diizinkan Koneksi: Mengamankan jaringan aplikasi web Anda

José Luis Zapata

Dipublikasikan: 16 April 2026

Karena aplikasi web menjadi lebih kompleks, terutama dengan munculnya AI Generatif terintegrasi, melindungi data pengguna menjadi prioritas utama. Itulah sebabnya kami mengumumkan uji coba origin untuk Daftar Izin Koneksi, mekanisme keamanan baru yang membuat sandbox jaringan untuk dokumen dan pekerja.

Latar belakang

Dalam ekosistem web modern, data sensitif terus berpindah antara klien dan server. Mobilitas ini, dikombinasikan dengan supply chain yang kompleks dari skrip pihak ketiga dan munculnya kode yang dibuat secara dinamis dari AI generatif, secara signifikan meningkatkan risiko eksfiltrasi data.

Skrip berbahaya, kerentanan dalam library yang dibundel, atau perilaku yang tidak diinginkan dalam kode yang dibuat AI generatif dapat melewati pemeriksaan tingkat aplikasi untuk mengirim informasi sensitif ke endpoint yang tidak sah. Meskipun Kebijakan Keamanan Konten (CSP) adalah alat yang canggih untuk mengontrol apa yang dapat dimuat dan dieksekusi oleh halaman, mengelola kompleksitasnya secara khusus untuk membatasi tempat halaman berkomunikasi dapat menjadi tantangan. Hal ini sering kali menghasilkan kebijakan luas yang memberikan ruang untuk aktivitas jaringan yang tidak sah.

Sandbox Daftar yang Diizinkan untuk Koneksi

Daftar Izin Koneksi menyediakan metode langsung untuk mengatasi risiko ini dengan menjadikan browser sebagai penjaga gerbang semua koneksi jaringan yang berasal dari halaman Anda. Dengan menyertakan header respons HTTP Connection-Allowlist, situs menentukan pola URL persis yang diizinkan untuk semua komunikasi jaringan yang dimulai oleh konteksnya, seperti dokumen atau web worker.

Fitur ini menerapkan firewall "tolak secara default" tingkat framework. Sebelum koneksi dibuat, misalnya, pengambilan subresource, pengalihan navigasi, atau koneksi WebSocket, browser akan memverifikasi tujuan berdasarkan daftar yang diizinkan. Jika endpoint tidak cocok, browser akan memblokir koneksi di tingkat jaringan. Browser mempertahankan batas jaringan meskipun kode berbahaya mencoba melewati logika tingkat aplikasi.

Cara kerja Daftar yang Diizinkan Koneksi

Daftar Izin Koneksi menyediakan metode langsung untuk mengatasi risiko ini dengan menjadikan browser sebagai penjaga gerbang semua koneksi jaringan yang berasal dari halaman Anda. Dengan menyertakan header respons HTTP Connection-Allowlist, situs menentukan pola URL yang tepat yang diizinkan untuk semua komunikasi jaringan yang dimulai oleh konteksnya. Untuk uji coba origin, hal ini hanya didukung untuk konteks dokumen.

Sebelum koneksi dibuat, misalnya, pengambilan subresource, pengalihan navigasi, atau koneksi WebSocket, browser akan memverifikasi tujuan berdasarkan daftar yang diizinkan. Jika endpoint tidak cocok, browser akan memblokir koneksi di tingkat jaringan. Hal ini memastikan bahwa batas jaringan dipertahankan meskipun kode berbahaya mencoba melewati logika tingkat aplikasi.

Menggunakan token response-origin

Anda dapat menggunakan token response-origin, yang secara dinamis menambahkan origin tempat respons ditayangkan ke daftar yang diizinkan:

Connection-Allowlist: ("https://api.example.com/*" response-origin)

Dalam contoh ini, halaman dapat terhubung ke jalur apa pun di asalnya dan endpoint API yang ditentukan.

Melaporkan pelanggaran

Untuk memantau potensi masalah tanpa mengganggu fungsi situs Anda, Anda dapat menggunakan header Connection-Allowlist-Report-Only. Varian ini mengurai kebijakan dan mengirimkan laporan pelanggaran ke endpoint tertentu menggunakan Reporting API.

Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint

Kasus penggunaan utama

Daftar yang Diizinkan Koneksi berguna untuk lingkungan yang sangat aman atau dinamis:

• AI generatif dan kode yang tidak tepercaya: Jika situs Anda memungkinkan pengguna menjalankan kode yang dibuat atau tidak tepercaya, misalnya, di Kanvas Spreadsheet atau sandbox pengembangan, Daftar Izin Koneksi dapat mencegah kode tersebut mengekstraksi data ke domain eksternal.
• Pengawasan pihak ketiga: Anda dapat memastikan bahwa meskipun skrip pihak ketiga disusupi, skrip tersebut tidak dapat mengirim data ke server yang tidak sah.
• Pengamanan arsitektur: Terapkan batas jaringan yang ketat untuk bagian sensitif aplikasi Anda, sehingga memastikan komunikasi hanya dengan backend yang disetujui.

Perbedaan dari Kebijakan Keamanan Konten

Meskipun Daftar Izin Koneksi dan CSP memiliki tujuan yang serupa, keduanya saling melengkapi:

• Fokus tingkat jaringan: Daftar yang diizinkan koneksi berfokus pada tujuan koneksi jaringan, bukan cara resource dimuat atau dieksekusi.
• Cakupan komprehensif: API ini mencakup navigasi, pengalihan, dan berbagai API platform web, misalnya, Fetch, WebRTC, WebTransport, pengambilan data DNS, dan pramuat, secara terpadu.
• Sintaksis yang disederhanakan: Daftar Izin Koneksi berfokus pada satu tugas, yang menyederhanakan konfigurasi dan audit keamanan.

Bereksperimen dengan Daftar Izin Koneksi

Fitur Daftar Izin Koneksi tersedia untuk pengujian lokal. Uji coba origin dijadwalkan berjalan dari Chrome 148 hingga Chrome 151. Fungsi terus ditambahkan seiring kemajuan uji coba origin. Pada awal uji coba ini, fungsi pelaporan terbatas pada konteks dokumen; Worker Khusus, Bersama, dan Layanan tidak didukung. Detail selengkapnya tentang fitur yang didukung ada di bagian Mendaftar ke uji coba origin.

Menguji secara lokal

1. Aktifkan tanda: Buka Chrome, lalu buka chrome://flags/#connection-allowlist. Tetapkan flag ke Enabled.
2. Deploy header: Konfigurasi server pengembangan lokal Anda untuk mengirim header respons HTTP Connection-Allowlist. Misalnya, Connection-Allowlist: ("https://api.example.com/*" response-origin).
3. Verifikasi dengan DevTools: Buka Chrome DevTools dan lakukan tindakan yang memicu permintaan jaringan.
   • Panel Jaringan: Periksa permintaan yang "diblokir:lainnya" atau menampilkan error koneksi.
   • Tab Masalah: Cari laporan mendetail jika ada error parsing di header Anda.

Mendaftar untuk uji coba origin

Meskipun pengujian lokal sangat bagus untuk pengembangan, Anda harus mendaftar ke uji coba origin untuk mengaktifkan Daftar Izin Koneksi bagi pengguna Anda dalam produksi.

1. Buka dasbor uji coba origin Chrome.
2. Temukan uji coba origin Daftar Izin Koneksi, lalu klik Daftar.
3. Tambahkan token yang dihasilkan ke halaman atau header situs Anda seperti yang dijelaskan dalam panduan Mulai menggunakan uji coba origin.

Uji coba origin dijadwalkan akan berjalan dari Chrome 148 hingga Chrome 151. Fungsi terus ditambahkan seiring perkembangan uji coba origin, jadi sebaiknya Anda terus menggunakan mekanisme keamanan web yang ada saat menguji Daftar Izin Koneksi. Maksud untuk Bereksperimen menjelaskan lebih lanjut endpoint jaringan yang tercakup dalam penerapan Daftar Izin Koneksi.

Berikan masukan

Berikan masukan tentang desain dan kegunaan fitur. Jika Anda mengalami masalah atau memiliki saran untuk peningkatan, hubungi tim:

• GitHub: Buka masalah atau berikan komentar pada masalah yang ada di repositori WICG/connection-allowlists.
• Pelacak bug Chromium: Buat masalah di pelacak bug Chromium.

Referensi lainnya

• Spesifikasi Daftar yang Diizinkan untuk Koneksi
• Repositori GitHub
• ChromeStatus: Daftar yang Diizinkan untuk Koneksi