Opublikowano: 16 kwietnia 2026 r.
W miarę jak aplikacje internetowe stają się coraz bardziej złożone, zwłaszcza w związku z rozwojem zintegrowanej generatywnej AI, ochrona danych użytkowników staje się priorytetem. Dlatego ogłaszamy testowanie origin list dozwolonych połączeń, czyli nowego mechanizmu zabezpieczeń, który tworzy piaskownicę sieciową dla dokumentów i procesów roboczych.
Tło
W nowoczesnym ekosystemie internetowym dane wrażliwe są stale przesyłane między klientami a serwerami. Ta mobilność w połączeniu ze złożonym łańcuchem dostaw skryptów innych firm i rozwojem dynamicznie generowanego kodu z generatywnej AI znacznie zwiększa ryzyko wydobycia danych.
Złośliwe skrypty, luki w zestawionych bibliotekach lub niezamierzone zachowania w kodzie wygenerowanym przez generatywną AI mogą omijać kontrole na poziomie aplikacji i wysyłać informacje poufne do nieautoryzowanych punktów końcowych. Content Security Policy (CSP) to potężne narzędzie do kontrolowania tego, co strona może wczytywać i wykonywać, ale zarządzanie jego złożonością w celu ograniczenia miejsc, z którymi strona może się komunikować, może być trudne. Prowadzi to często do tworzenia ogólnych zasad, które pozostawiają miejsce na nieautoryzowaną aktywność w sieci.
Piaskownica list dozwolonych połączeń
Listy dozwolonych połączeń zapewniają bezpośrednią metodę radzenia sobie z tymi zagrożeniami, ponieważ przeglądarka staje się strażnikiem dostępu wszystkich połączeń sieciowych pochodzących z Twojej strony. Dzięki uwzględnieniu nagłówka odpowiedzi HTTP Connection-Allowlist witryna określa dokładne wzorce adresów URL, które są dozwolone w przypadku całej komunikacji sieciowej inicjowanej przez jej kontekst, np. dokument lub proces roboczy.
Ta funkcja wymusza stosowanie zapory sieciowej na poziomie platformy, która domyślnie blokuje dostęp. Zanim zostanie nawiązane jakiekolwiek połączenie, np. pobranie zasobu podrzędnego, przekierowanie nawigacji lub połączenie WebSocket, przeglądarka sprawdza, czy miejsce docelowe znajduje się na liście dozwolonych. Jeśli punkt końcowy nie pasuje, przeglądarka blokuje połączenie na poziomie sieci. Przeglądarka zachowuje granice sieci, nawet jeśli złośliwy kod próbuje ominąć logikę na poziomie aplikacji.
Jak działają listy dozwolonych połączeń
Listy dozwolonych połączeń zapewniają bezpośrednią metodę radzenia sobie z tymi zagrożeniami, ponieważ przeglądarka staje się strażnikiem dostępu wszystkich połączeń sieciowych pochodzących z Twojej strony. Umieszczając nagłówek odpowiedzi HTTP Connection-Allowlist, witryna określa dokładne wzorce adresów URL dozwolone w przypadku całej komunikacji sieciowej inicjowanej przez jej kontekst. W przypadku testu origin jest to obsługiwane tylko w kontekstach dokumentów.
Zanim zostanie nawiązane jakiekolwiek połączenie, np. pobranie zasobu podrzędnego, przekierowanie nawigacji lub połączenie WebSocket, przeglądarka sprawdza, czy miejsce docelowe znajduje się na liście dozwolonych. Jeśli punkt końcowy nie pasuje, przeglądarka blokuje połączenie na poziomie sieci. Dzięki temu granice sieci są zachowywane nawet wtedy, gdy szkodliwy kod próbuje obejść logikę na poziomie aplikacji.
Używanie tokena response-origin
Możesz użyć tokena response-origin, który dynamicznie dodaje do listy dozwolonych domenę, z której pochodzi odpowiedź:
Connection-Allowlist: ("https://api.example.com/*" response-origin)
W tym przykładzie strona może łączyć się z dowolną ścieżką w swojej domenie i z określonym punktem końcowym interfejsu API.
Zgłaszanie naruszeń
Aby monitorować potencjalne problemy bez zakłócania działania witryny, możesz użyć nagłówka Connection-Allowlist-Report-Only. Ten wariant analizuje zasady i wysyła raporty o naruszeniach do określonego punktu końcowego za pomocą interfejsu API do raportowania.
Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint
Kluczowe przypadki użycia
Listy dozwolonych połączeń są przydatne w środowiskach o wysokim poziomie bezpieczeństwa lub dynamicznych:
- Generatywna AI i niezaufany kod: jeśli Twoja witryna umożliwia użytkownikom wykonywanie wygenerowanego lub niezaufanego kodu, np. w obszarze roboczym Arkuszy lub w środowiskach testowych, listy dozwolonych połączeń mogą zapobiegać eksfiltracji danych do domen zewnętrznych.
- Nadzór nad podmiotami zewnętrznymi: możesz mieć pewność, że nawet jeśli skrypt innej firmy zostanie naruszony, nie będzie mógł wysyłać danych na nieautoryzowane serwery.
- Zabezpieczenia architektoniczne: wymuszaj ścisłe granice sieci w przypadku wrażliwych części aplikacji, zapewniając komunikację tylko z zatwierdzonymi backendami.
Różnice w porównaniu z zasadami Content Security Policy
Listy dozwolonych połączeń i CSP mają podobne cele, ale się uzupełniają:
- Skupienie na poziomie sieci: listy dozwolonych połączeń skupiają się na miejscu docelowym połączeń sieciowych, a nie na sposobie wczytywania lub wykonywania zasobu.
- Kompleksowe pokrycie: obejmuje nawigację, przekierowania i różne interfejsy API platformy internetowej, np. Fetch, WebRTC, WebTransport, wstępne pobieranie DNS i wstępne wczytywanie, w ujednolicony sposób.
- Uproszczona składnia: listy dozwolonych połączeń koncentrują się na jednym zadaniu, co upraszcza konfigurację i kontrolę zabezpieczeń.
Eksperymentowanie z listami dozwolonych połączeń
Funkcja list dozwolonych połączeń jest dostępna w przypadku testów lokalnych. Okres testowania tej funkcji rozpocznie się w Chrome 148 i potrwa do Chrome 151. W miarę postępów testów origin trial będziemy dodawać kolejne funkcje. Na początku tego okresu próbnego funkcje raportowania są ograniczone do kontekstów dokumentów. Skrypty Dedicated Worker, Shared Worker i Service Worker nie są obsługiwane. Więcej informacji o tym, co jest obsługiwane, znajdziesz w sekcji Rejestracja w programie testów origin.
Testowanie lokalne
- Włącz flagę: otwórz Chrome i przejdź do
chrome://flags/#connection-allowlist. Ustaw flagę na Włączono. - Wdróż nagłówek: skonfiguruj lokalny serwer programistyczny tak, aby wysyłał nagłówek odpowiedzi HTTP
Connection-Allowlist. Na przykład:Connection-Allowlist: ("https://api.example.com/*" response-origin). - Weryfikacja za pomocą Narzędzi deweloperskich: otwórz Narzędzia deweloperskie w Chrome i wykonaj działania, które wywołują żądania sieciowe.
- Panel Sieć: sprawdź, czy nie ma żądań o stanie „zablokowane:inne” lub błędów połączenia.
- Karta Problemy: jeśli w nagłówku wystąpiły błędy analizowania, poszukaj szczegółowych raportów.
Rejestracja w testowaniu origin
Testowanie lokalne jest przydatne podczas tworzenia aplikacji, ale aby włączyć listy dozwolonych połączeń dla użytkowników w środowisku produkcyjnym, musisz zarejestrować się w ramach testowania origin.
- Otwórz panel testów origin w Chrome.
- Znajdź testowanie origin Connection Allowlists i kliknij Zarejestruj się.
- Dodaj wygenerowany token do stron lub nagłówków witryny zgodnie z opisem w przewodniku Wprowadzenie do testów origin.
Testowanie origin jest zaplanowane od Chrome 148 do Chrome 151. W trakcie testów origin trial będą dodawane kolejne funkcje, dlatego podczas testowania list dozwolonych połączeń zdecydowanie zalecamy korzystanie z dotychczasowych mechanizmów zabezpieczeń sieci. W dokumencie Zamiar przeprowadzenia eksperymentu znajdziesz więcej informacji o punktach końcowych sieci objętych implementacją list dozwolonych połączeń.
Prześlij opinię
Prześlij opinię na temat projektu i użyteczności tej funkcji. Jeśli napotkasz jakieś problemy lub masz sugestie dotyczące ulepszeń, skontaktuj się z zespołem:
- GitHub otwórz zgłoszenie lub skomentuj istniejące w repozytorium
WICG/connection-allowlists. - Narzędzie do śledzenia błędów Chromium: utwórz zgłoszenie w narzędziu do śledzenia błędów Chromium.