Prova dell'origine della lista consentita di connessioni: proteggi la rete della tua applicazione web

José Luis Zapata

Data di pubblicazione: 16 aprile 2026

Poiché le applicazioni web diventano più complesse, soprattutto con l'aumento dell'AI generativa integrata, la protezione dei dati utente è una priorità assoluta. Per questo motivo annunciamo la prova dell'origine per le liste consentite di connessioni, un nuovo meccanismo di sicurezza che crea un sandbox di rete per documenti e worker.

Sfondo

In un moderno ecosistema web, i dati sensibili vengono costantemente spostati tra client e server. Questa mobilità, combinata con una complessa catena di fornitura di script di terze parti e l'aumento del codice generato dinamicamente dall'AI generativa, aumenta notevolmente il rischio di esfiltrazione dei dati.

Script dannosi, vulnerabilità nelle librerie in bundle o comportamenti imprevisti nel codice generato dall'AI generativa possono bypassare i controlli a livello di applicazione per inviare informazioni sensibili a endpoint non autorizzati. Sebbene il Content Security Policy (CSP) sia uno strumento potente per controllare cosa può caricare ed eseguire una pagina, gestire la sua complessità per limitare in modo specifico dove una pagina comunica può essere difficile. Ciò spesso porta a policy ampie che lasciano spazio ad attività di rete non autorizzate.

Sandbox delle liste consentite di connessioni

Gli elenchi consentiti di connessioni forniscono un metodo diretto per affrontare questi rischi rendendo il browser il gatekeeper di tutte le connessioni di rete provenienti dalla tua pagina. Se includi l'intestazione della risposta HTTP Connection-Allowlist, un sito specifica i pattern URL esatti consentiti per tutte le comunicazioni di rete avviate dal suo contesto, ad esempio un documento o un web worker.

Questa funzionalità applica un firewall "deny-by-default" a livello di framework. Prima di stabilire una connessione, ad esempio un recupero di una risorsa secondaria, un reindirizzamento di navigazione o una connessione WebSocket, il browser verifica la destinazione rispetto alla lista consentita. Se l'endpoint non corrisponde, il browser blocca la connessione a livello di rete. Il browser mantiene i confini di rete anche se il codice dannoso tenta di bypassare la logica a livello di applicazione.

Come funzionano le liste consentite delle connessioni

Gli elenchi consentiti di connessioni forniscono un metodo diretto per affrontare questi rischi rendendo il browser il gatekeeper di tutte le connessioni di rete provenienti dalla tua pagina. Se includi l'intestazione della risposta HTTP Connection-Allowlist, un sito specifica i pattern URL esatti consentiti per tutte le comunicazioni di rete avviate dal suo contesto. Per la prova dell'origine, questa funzionalità è supportata solo per i contesti dei documenti.

Prima di stabilire una connessione, ad esempio un recupero di una risorsa secondaria, un reindirizzamento della navigazione o una connessione WebSocket, il browser verifica la destinazione rispetto alla lista consentita. Se l'endpoint non corrisponde, il browser blocca la connessione a livello di rete. In questo modo, i limiti di rete vengono mantenuti anche se il codice dannoso tenta di bypassare la logica a livello di applicazione.

Utilizzare il token response-origin

Puoi utilizzare il token response-origin, che aggiunge dinamicamente l'origine da cui viene pubblicata la risposta all'allowlist:

Connection-Allowlist: ("https://api.example.com/*" response-origin)

In questo esempio, la pagina può connettersi a qualsiasi percorso della sua origine e all'endpoint API specificato.

Segnala violazioni

Per monitorare potenziali problemi senza interrompere la funzionalità del tuo sito, puoi utilizzare l'intestazione Connection-Allowlist-Report-Only. Questa variante analizza le norme e invia report sulle violazioni a un endpoint specificato utilizzando l'API di reporting.

Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint

Casi d'uso principali

Le liste consentite di connessioni sono utili per ambienti dinamici o ad alta sicurezza:

• IA generativa e codice non attendibile: se il tuo sito consente agli utenti di eseguire codice generato o non attendibile, ad esempio in Canvas Fogli o nelle sandbox di sviluppo, gli elenchi consentiti di connessioni possono impedire al codice di estrarre dati verso domini esterni.
• Supervisione di terze parti:puoi assicurarti che, anche se uno script di terze parti viene compromesso, non possa inviare dati a server non autorizzati.
• Salvaguardie architetturali: applica un limite di rete rigoroso per le parti sensibili della tua applicazione, garantendo la comunicazione solo con i backend approvati.

Differenze rispetto a Content Security Policy

Sebbene gli elenchi consentiti di connessioni e CSP abbiano obiettivi simili, sono complementari:

• Focus a livello di rete: le liste consentite di connessioni si concentrano sulla destinazione delle connessioni di rete, anziché sul modo in cui una risorsa viene caricata o eseguita.
• Copertura completa:copre navigazioni, reindirizzamenti e varie API della piattaforma web, ad esempio Fetch, WebRTC, WebTransport, precaricamento DNS e precaricamento, in modo unificato.
• Sintassi semplificata: le liste consentite di connessioni si concentrano su una singola attività, il che semplifica la configurazione e il controllo della sicurezza.

Sperimenta con le liste consentite di connessioni

La funzionalità Liste consentite di connessioni è disponibile per i test locali. La prova dell'origine è programmata per l'esecuzione da Chrome 148 a Chrome 151. Man mano che la prova dell'origine procede, vengono aggiunte funzionalità. All'inizio di questa prova, la funzionalità di reporting è limitata ai contesti dei documenti; i service worker dedicati, condivisi e non sono supportati. Per maggiori dettagli su ciò che è supportato, consulta la sezione Registrati alla prova dell'origine.

Testare localmente

1. Attiva il flag: apri Chrome e vai a chrome://flags/#connection-allowlist. Imposta il flag su Enabled (Attivato).
2. Esegui il deployment dell'intestazione: configura il server di sviluppo locale per inviare l'intestazione della risposta HTTP Connection-Allowlist. Ad esempio, Connection-Allowlist: ("https://api.example.com/*" response-origin).
3. Verifica con DevTools: apri Chrome DevTools ed esegui azioni che attivano richieste di rete.
   • Riquadro Rete: controlla le richieste "bloccate:altro" o che mostrano un errore di connessione.
   • Scheda Problemi: cerca report dettagliati se si sono verificati errori di analisi nell'intestazione.

Registrati alla prova dell'origine

Sebbene i test locali siano ideali per lo sviluppo, devi registrarti alla prova dell'origine per attivare le liste consentite di connessioni per i tuoi utenti in produzione.

1. Vai alla dashboard delle prove di origine di Chrome.
2. Trova la prova dell'origine Elenchi consentiti di connessioni e fai clic su Registra.
3. Aggiungi il token generato alle pagine o alle intestazioni del tuo sito come descritto nella guida Inizia a utilizzare le prove di origine.

La prova dell'origine è programmata per essere eseguita da Chrome 148 a Chrome 151. Man mano che la prova dell'origine procede, vengono aggiunte funzionalità, pertanto ti consigliamo vivamente di continuare a utilizzare i meccanismi di sicurezza web esistenti durante il test delle liste consentite di connessioni. L'Intent to Experiment descrive in modo più dettagliato gli endpoint di rete coperti dall'implementazione delle liste consentite di connessioni.

Invia il tuo feedback

Fornisci un feedback sul design e sull'utilità della funzionalità. Se riscontri problemi o hai suggerimenti per miglioramenti, contatta il team:

• GitHub: apri un problema o commenta uno esistente nel repository WICG/connection-allowlists.
• Strumento di monitoraggio dei bug di Chromium: crea un problema nello strumento di monitoraggio dei bug di Chromium.

Risorse aggiuntive

• Specifica delle liste consentite di connessioni
• Repository GitHub
• ChromeStatus: Connection Allowlists