ช่วงทดลองใช้จากต้นทางของรายการที่อนุญาตการเชื่อมต่อ: รักษาความปลอดภัยเครือข่ายของเว็บแอปพลิเคชัน

José Luis Zapata

เผยแพร่: 16 เมษายน 2026

เนื่องจากเว็บแอปพลิเคชันมีความซับซ้อนมากขึ้น โดยเฉพาะอย่างยิ่งเมื่อ Generative AI แบบผสานรวมได้รับความนิยม การปกป้องข้อมูลผู้ใช้จึงเป็นสิ่งสำคัญอันดับแรก เราจึงขอประกาศช่วงทดลองใช้จากต้นทางสำหรับรายการที่อนุญาตการเชื่อมต่อ ซึ่งเป็นกลไกความปลอดภัยใหม่ที่สร้างแซนด์บ็อกซ์เครือข่ายสำหรับเอกสารและ Worker

ฉากหลัง

ในระบบนิเวศของเว็บยุคใหม่ ข้อมูลที่ละเอียดอ่อนจะเคลื่อนที่ระหว่างไคลเอ็นต์และเซิร์ฟเวอร์อยู่ตลอดเวลา ความสามารถในการเคลื่อนย้ายนี้ เมื่อรวมกับซัพพลายเชนที่ซับซ้อนของสคริปต์ของบุคคลที่สาม และการเพิ่มขึ้นของโค้ดที่สร้างขึ้นแบบไดนามิกจาก Generative AI จะเพิ่มความเสี่ยงในการขโมยข้อมูลอย่างมาก

สคริปต์ที่เป็นอันตราย ช่องโหว่ในไลบรารีที่รวมไว้ หรือลักษณะการทำงานที่ไม่คาดคิด ในโค้ดที่ Generative AI สร้างขึ้นอาจข้ามการตรวจสอบระดับแอปพลิเคชันเพื่อส่ง ข้อมูลที่ละเอียดอ่อนไปยังปลายทางที่ไม่ได้รับอนุญาต แม้ว่านโยบายรักษาความปลอดภัยเนื้อหา (CSP) จะเป็นเครื่องมือที่มีประสิทธิภาพในการควบคุมสิ่งที่หน้าเว็บ โหลดและเรียกใช้ได้ แต่การจัดการความซับซ้อนของนโยบายเพื่อจำกัดตำแหน่งที่หน้าเว็บ สื่อสารโดยเฉพาะอาจเป็นเรื่องท้าทาย ซึ่งมักจะนำไปสู่นโยบายที่กว้าง ซึ่งเปิดช่องให้กิจกรรมเครือข่ายที่ไม่ได้รับอนุญาต

แซนด์บ็อกซ์รายการที่อนุญาตให้เชื่อมต่อ

รายการที่อนุญาตการเชื่อมต่อเป็นวิธีโดยตรงในการจัดการความเสี่ยงเหล่านี้โดยการทำให้เบราว์เซอร์เป็นผู้ควบคุมการเชื่อมต่อเครือข่ายทั้งหมดที่มาจากหน้าเว็บของคุณ การใส่ส่วนหัวการตอบกลับ HTTP Connection-Allowlist จะทำให้เว็บไซต์ระบุรูปแบบ URL ที่แน่นอนซึ่งอนุญาตสำหรับการสื่อสารผ่านเครือข่ายทั้งหมดที่เริ่มต้นโดยบริบทของเว็บไซต์ เช่น เอกสารหรือ Web Worker

ฟีเจอร์นี้บังคับใช้ไฟร์วอลล์ "ปฏิเสธโดยค่าเริ่มต้น" ระดับเฟรมเวิร์ก ก่อนที่จะมีการสร้างการเชื่อมต่อใดๆ เช่น การดึงข้อมูลทรัพยากรย่อย การเปลี่ยนเส้นทางการนำทาง หรือการเชื่อมต่อ WebSocket เบราว์เซอร์จะยืนยันปลายทางกับรายการที่อนุญาต หากปลายทางไม่ตรงกัน เบราว์เซอร์จะบล็อกการเชื่อมต่อที่ระดับเครือข่าย เบราว์เซอร์จะรักษาขอบเขตเครือข่ายแม้ว่าโค้ดที่เป็นอันตรายจะพยายามข้ามตรรกะระดับแอปพลิเคชันก็ตาม

วิธีการทำงานของรายการที่อนุญาตการเชื่อมต่อ

รายการที่อนุญาตการเชื่อมต่อเป็นวิธีโดยตรงในการจัดการความเสี่ยงเหล่านี้โดยการทำให้เบราว์เซอร์เป็นผู้ควบคุมการเชื่อมต่อเครือข่ายทั้งหมดที่มาจากหน้าเว็บของคุณ การรวมส่วนหัวการตอบกลับ HTTP Connection-Allowlist ทำให้เว็บไซต์ระบุรูปแบบ URL ที่แน่นอนซึ่งอนุญาตสำหรับการสื่อสารผ่านเครือข่ายทั้งหมดที่บริบทของเว็บไซต์เริ่มต้น สำหรับการทดลองใช้จากต้นทาง ระบบจะรองรับเฉพาะบริบทของเอกสารเท่านั้น

ก่อนที่จะสร้างการเชื่อมต่อ เช่น การดึงข้อมูลทรัพยากรย่อย การเปลี่ยนเส้นทางการนำทาง หรือการเชื่อมต่อ WebSocket เบราว์เซอร์จะตรวจสอบปลายทางกับรายการที่อนุญาต หากปลายทางไม่ตรงกัน เบราว์เซอร์จะบล็อกการเชื่อมต่อที่ระดับเครือข่าย การทำเช่นนี้จะช่วยให้มั่นใจได้ว่าขอบเขตเครือข่าย จะยังคงอยู่แม้ว่าโค้ดที่เป็นอันตรายจะพยายามข้ามตรรกะระดับแอปพลิเคชัน ก็ตาม

ใช้โทเค็น response-origin

คุณสามารถใช้โทเค็น response-origin ซึ่งจะเพิ่มต้นทางที่แสดงผลการตอบกลับลงในรายการที่อนุญาตแบบไดนามิกได้

Connection-Allowlist: ("https://api.example.com/*" response-origin)

ในตัวอย่างนี้ หน้าเว็บจะเชื่อมต่อกับเส้นทางใดก็ได้ในต้นทางและปลายทาง API ที่ระบุ

รายงานการละเมิด

หากต้องการตรวจสอบปัญหาที่อาจเกิดขึ้นโดยไม่รบกวนฟังก์ชันการทำงานของเว็บไซต์ คุณ สามารถใช้ส่วนหัว Connection-Allowlist-Report-Only ได้ ตัวแปรนี้จะแยกวิเคราะห์นโยบายและส่งรายงานการละเมิดไปยังปลายทางที่ระบุโดยใช้ Reporting API

Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint

กรณีการใช้งานหลัก

รายการที่อนุญาตการเชื่อมต่อมีประโยชน์สำหรับสภาพแวดล้อมที่มีความปลอดภัยสูงหรือมีการเปลี่ยนแปลงอยู่เสมอ

• Generative AI และโค้ดที่ไม่น่าเชื่อถือ: หากเว็บไซต์ของคุณอนุญาตให้ผู้ใช้เรียกใช้โค้ดที่สร้างขึ้นหรือโค้ดที่ไม่น่าเชื่อถือ เช่น ใน Canvas ของชีตหรือแซนด์บ็อกซ์สำหรับการพัฒนา รายการที่อนุญาตของ Connection จะป้องกันไม่ให้โค้ดกรองข้อมูลออกไปยังโดเมนภายนอกได้
• การกำกับดูแลบุคคลที่สาม: คุณมั่นใจได้ว่าแม้สคริปต์ของบุคคลที่สามจะถูกบุกรุก แต่ก็จะไม่สามารถส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ไม่ได้รับอนุญาต
• การป้องกันระดับสถาปัตยกรรม: บังคับใช้ขอบเขตเครือข่ายที่เข้มงวดสำหรับ ส่วนที่ละเอียดอ่อนของแอปพลิเคชัน เพื่อให้มั่นใจว่ามีการสื่อสารกับ แบ็กเอนด์ที่ได้รับอนุมัติเท่านั้น

ความแตกต่างจากนโยบายรักษาความปลอดภัยเนื้อหา

แม้ว่ารายการที่อนุญาตการเชื่อมต่อและ CSP จะมีเป้าหมายคล้ายกัน แต่ก็เป็นส่วนเสริมกัน

• การมุ่งเน้นที่ระดับเครือข่าย: รายการที่อนุญาตการเชื่อมต่อจะมุ่งเน้นที่ปลายทางการเชื่อมต่อเครือข่าย แทนที่จะเป็นวิธีโหลดหรือเรียกใช้ทรัพยากร
• ครอบคลุมทุกด้าน: ครอบคลุมการไปยังส่วนต่างๆ การเปลี่ยนเส้นทาง และ API ของแพลตฟอร์มเว็บต่างๆ เช่น Fetch, WebRTC, WebTransport, การดึงข้อมูล DNS ล่วงหน้า และการโหลดล่วงหน้าในลักษณะที่เป็นหนึ่งเดียว
• ไวยากรณ์ที่ง่ายขึ้น: รายการที่อนุญาตของการเชื่อมต่อจะเน้นที่งานเดียว ซึ่งจะช่วยลดความซับซ้อนในการกำหนดค่าและการตรวจสอบความปลอดภัย

ทดลองใช้รายการที่อนุญาตของการเชื่อมต่อ

ฟีเจอร์รายการที่อนุญาตของการเชื่อมต่อพร้อมให้ใช้งานสำหรับการทดสอบในพื้นที่ เรามีกำหนดที่จะเรียกใช้ Origin Trial ตั้งแต่ Chrome 148 ถึง Chrome 151 เราจะเพิ่มฟังก์ชันการทำงานต่อไป เมื่อช่วงทดลองใช้จากต้นทางคืบหน้า ในช่วงเริ่มต้นของการทดลองนี้ ฟังก์ชันการรายงานจะจำกัดเฉพาะบริบทของเอกสาร โดยระบบไม่รองรับ Dedicated Worker, Shared Worker และ Service Worker ดูรายละเอียดเพิ่มเติมเกี่ยวกับสิ่งที่รองรับได้ในส่วนลงทะเบียนเพื่อทดลองใช้ช่วงทดลองใช้จากต้นทาง

ทดสอบในเครื่อง

1. เปิดใช้ฟีเจอร์ทดลอง: เปิด Chrome แล้วไปที่ chrome://flags/#connection-allowlist ตั้งค่า Flag เป็นเปิดใช้
2. ติดตั้งใช้งานส่วนหัว: กำหนดค่าเซิร์ฟเวอร์การพัฒนาซอฟต์แวร์ภายในให้ส่งส่วนหัวการตอบกลับ HTTP ของ Connection-Allowlist เช่น Connection-Allowlist: ("https://api.example.com/*" response-origin)
3. ตรวจสอบด้วยเครื่องมือสำหรับนักพัฒนาเว็บ: เปิดเครื่องมือสำหรับนักพัฒนาเว็บใน Chrome แล้วดำเนินการที่ทริกเกอร์ คำขอเครือข่าย
   • แผงเครือข่าย: ตรวจสอบคำขอที่ "ถูกบล็อก:อื่นๆ" หรือแสดง ข้อผิดพลาดในการเชื่อมต่อ
   • แท็บปัญหา: มองหารายงานแบบละเอียดหากมีข้อผิดพลาดในการแยกวิเคราะห์ในส่วนหัว

ลงทะเบียนเข้าร่วมช่วงทดลองใช้จากต้นทาง

แม้ว่าการทดสอบในเครื่องจะเหมาะกับการพัฒนาซอฟต์แวร์ แต่คุณจะต้องจดทะเบียนช่วงทดลองใช้จากต้นทางเพื่อเปิดใช้รายการที่อนุญาตการเชื่อมต่อสำหรับผู้ใช้ในเวอร์ชันที่ใช้งานจริง

1. ไปที่แดชบอร์ดการทดลองใช้ต้นทางของ Chrome
2. ค้นหาช่วงทดลองใช้จากต้นทางConnection Allowlists แล้วคลิกลงทะเบียน
3. เพิ่มโทเค็นที่สร้างขึ้นไปยังหน้าหรือส่วนหัวของเว็บไซต์ตามที่อธิบายไว้ในคู่มือเริ่มต้นใช้งานการทดสอบต้นทาง

กำหนดการช่วงทดลองใช้จากต้นทางคือตั้งแต่ Chrome 148 ถึง Chrome 151 เราจะเพิ่มฟังก์ชันการทำงานต่อไปเมื่อช่วงทดลองใช้จากต้นทางคืบหน้าไปเรื่อยๆ ดังนั้นเราขอแนะนำอย่างยิ่งให้คุณใช้กลไกการรักษาความปลอดภัยบนเว็บที่มีอยู่ต่อไปขณะทดสอบรายการที่อนุญาตของ Connection ความตั้งใจที่จะ ทดลอง จะให้รายละเอียดเพิ่มเติมเกี่ยวกับปลายทางของเครือข่ายที่ครอบคลุมโดยการติดตั้งใช้งานรายการที่อนุญาตให้เชื่อมต่อ

แสดงความคิดเห็น

แสดงความคิดเห็นเกี่ยวกับการออกแบบและประโยชน์ของฟีเจอร์ หากพบปัญหาหรือมีคำแนะนำสำหรับการปรับปรุง โปรดติดต่อทีมโดยทำดังนี้

• GitHub: เปิดปัญหาหรือแสดงความคิดเห็นในปัญหาที่มีอยู่แล้วในที่เก็บ WICG/connection-allowlists
• ตัวติดตามข้อบกพร่องของ Chromium: สร้างปัญหาในตัวติดตามข้อบกพร่องของ Chromium

แหล่งข้อมูลเพิ่มเติม

• ข้อกำหนดรายการการเชื่อมต่อที่อนุญาต
• ที่เก็บ GitHub
• ChromeStatus: รายการที่อนุญาตสำหรับการเชื่อมต่อ