Опубликовано: 16 апреля 2026 г.
Поскольку веб-приложения становятся все более сложными, особенно с появлением интегрированного генеративного ИИ, защита пользовательских данных становится первостепенной задачей. Именно поэтому мы объявляем о начале пробного использования Connection Allowlists — нового механизма безопасности, создающего сетевую песочницу для документов и рабочих процессов.
Фон
В современной веб-экосистеме конфиденциальные данные постоянно перемещаются между клиентами и серверами. Эта мобильность в сочетании со сложной цепочкой поставок сторонних скриптов и развитием динамически генерируемого кода с помощью генеративного ИИ значительно увеличивает риск утечки данных.
Вредоносные скрипты, уязвимости во встроенных библиотеках или непредусмотренное поведение в коде, сгенерированном генеративным ИИ, могут обходить проверки на уровне приложения и отправлять конфиденциальную информацию на неавторизованные конечные точки. Хотя политика безопасности контента (CSP) является мощным инструментом для контроля того, что страница может загружать и выполнять, управление ее сложностью для конкретного ограничения каналов связи страницы может быть сложной задачей. Это часто приводит к широким политикам, которые оставляют место для несанкционированной сетевой активности.
Песочница списков разрешенных подключений
Списки разрешенных соединений (Connection Allowlists) предоставляют прямой способ решения этих рисков, делая браузер привратником всех сетевых соединений, исходящих с вашей страницы. Включая заголовок HTTP-ответа Connection-Allowlist , сайт указывает точные шаблоны URL-адресов, разрешенные для всей сетевой коммуникации, инициированной его контекстом, например, документом или веб-воркером.
Эта функция обеспечивает работу брандмауэра «запрет по умолчанию» на уровне фреймворка. Прежде чем установить какое-либо соединение, например, для получения подресурса, перенаправления навигации или соединения WebSocket, браузер проверяет адрес назначения по списку разрешенных адресов. Если конечная точка не совпадает, браузер блокирует соединение на сетевом уровне. Браузер поддерживает сетевые границы, даже если вредоносный код пытается обойти логику на уровне приложения.
Как работают списки разрешенных подключений
Списки разрешенных соединений (Connection Allowlists) предоставляют прямой способ решения этих рисков, делая браузер привратником всех сетевых соединений, исходящих с вашей страницы. Включая заголовок HTTP-ответа Connection-Allowlist , сайт указывает точные шаблоны URL-адресов, разрешенные для всей сетевой связи, инициированной его контекстом. В рамках пробной версии для исходного сайта это поддерживается только для контекстов документов.
Перед установлением любого соединения, например, при получении подресурса, перенаправлении навигации или соединении WebSocket, браузер проверяет целевой адрес на соответствие списку разрешенных адресов. Если конечная точка не совпадает, браузер блокирует соединение на сетевом уровне. Это гарантирует сохранение сетевых границ даже в случае попытки вредоносного кода обойти логику на уровне приложения.
Используйте токен response-origin
Вы можете использовать токен response-origin , который динамически добавляет источник, с которого отправляется ответ, в список разрешенных источников:
Connection-Allowlist: ("https://api.example.com/*" response-origin)
В этом примере страница может подключаться к любому пути на своем источнике и указанной конечной точке API.
Сообщайте о нарушениях
Для отслеживания потенциальных проблем без нарушения функциональности вашего сайта можно использовать заголовок Connection-Allowlist-Report-Only . Этот вариант анализирует политику и отправляет отчеты о нарушениях на указанную конечную точку с помощью API отчетов .
Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint
Ключевые варианты использования
Списки разрешенных подключений полезны для сред с высоким уровнем безопасности или динамических сред:
- Генеративный ИИ и ненадежный код: если ваш сайт позволяет пользователям выполнять сгенерированный или ненадежный код, например, в Google Sheets, Canvas или тестовых средах разработки, списки разрешенных подключений могут предотвратить утечку данных из этого кода на внешние домены.
- Контроль со стороны третьих лиц: Вы можете гарантировать, что даже если сторонний скрипт будет скомпрометирован, он не сможет отправлять данные на неавторизованные серверы.
- Архитектурные меры защиты: Обеспечьте строгие сетевые границы для конфиденциальных частей вашего приложения, гарантируя связь только с утвержденными бэкэндами.
Отличия от политики безопасности контента
Хотя списки разрешенных подключений и CSP преследуют схожие цели, они дополняют друг друга:
- Ориентация на сетевом уровне: Списки разрешенных соединений ориентированы на получателя сетевых соединений, а не на способ загрузки или выполнения ресурса.
- Комплексное покрытие: оно охватывает навигацию, перенаправления и различные API веб-платформ, например, Fetch, WebRTC, WebTransport, предварительную выборку и предварительную загрузку DNS, в едином виде.
- Упрощенный синтаксис: Списки разрешенных подключений ориентированы на выполнение одной задачи, что упрощает настройку и аудит безопасности.
Поэкспериментируйте со списками разрешенных подключений.
Функция «Разрешенные списки подключений» доступна для локального тестирования. Первоначальное тестирование запланировано на период с Chrome 148 по Chrome 151. Функционал будет добавляться по мере проведения первоначального тестирования. На начальном этапе тестирования функциональность создания отчетов ограничена контекстами документов; выделенные, общие и сервисные рабочие процессы не поддерживаются. Более подробная информация о поддерживаемых функциях приведена в разделе «Регистрация для участия в первоначальном тестировании» .
Протестируйте локально.
- Включите флаг: откройте Chrome и перейдите по адресу
chrome://flags/#connection-allowlist. Установите флаг в положение «Включено» . - Добавьте заголовок: настройте локальный сервер разработки для отправки HTTP-заголовка
Connection-Allowlist. Например,Connection-Allowlist: ("https://api.example.com/*" response-origin). - Проверьте с помощью инструментов разработчика: откройте инструменты разработчика Chrome и выполните действия, которые запускают сетевые запросы.
- Панель «Сеть» : проверьте наличие запросов, помеченных как «заблокированные:другие» или отображающих ошибку подключения.
- Вкладка «Проблемы» : если в заголовке были обнаружены ошибки синтаксического анализа, просмотрите подробные отчеты.
Зарегистрируйтесь для участия в первоначальном исследовании.
Хотя локальное тестирование отлично подходит для разработки, для включения списков разрешенных подключений для пользователей в рабочей среде вам потребуется зарегистрироваться для участия в пробной версии.
- Перейдите на панель управления пробными версиями Chrome Origin .
- Найдите пробную версию Connection Allowlists origin и нажмите «Зарегистрироваться» .
- Добавьте сгенерированный токен на страницы или в заголовки вашего сайта, как описано в руководстве «Начало работы с пробными версиями Origin» .
Первоначальное тестирование запланировано на период с Chrome 148 по Chrome 151. Функционал будет постоянно добавляться по мере проведения первоначального тестирования, поэтому настоятельно рекомендуется продолжать использовать существующие механизмы веб-безопасности во время тестирования списков разрешенных подключений. В документе «Замысел эксперимента» более подробно описаны сетевые конечные точки, охватываемые реализацией списков разрешенных подключений.
Предоставьте отзыв
Пожалуйста, оставьте отзыв о дизайне и функциональности функции. Если вы столкнетесь с проблемами или у вас есть предложения по улучшению, свяжитесь с командой:
- GitHub : Создайте заявку или оставьте комментарий к существующей в репозитории
WICG/connection-allowlists. - Система отслеживания ошибок Chromium : Создайте заявку в системе отслеживания ошибок Chromium .