Connection Allowlists kaynak denemesi: Web uygulamanızın ağını güvenli hale getirin

José Luis Zapata

Yayınlanma tarihi: 16 Nisan 2026

Web uygulamaları, özellikle entegre üretken yapay zekanın yükselişiyle birlikte daha karmaşık hale geldiğinden kullanıcı verilerini korumak en önemli önceliklerden biridir. Bu nedenle, dokümanlar ve çalışanlar için bir ağ korumalı alanı oluşturan yeni bir güvenlik mekanizması olan Bağlantı İzin Listeleri için kaynak denemesini duyuruyoruz.

Arka plan

Modern bir web ekosisteminde hassas veriler sürekli olarak istemciler ve sunucular arasında taşınır. Bu hareketlilik, üçüncü taraf komut dosyalarının karmaşık tedarik zinciri ve üretken yapay zekadan dinamik olarak oluşturulan kodun yükselişiyle birleştiğinde veri hırsızlığı riskini önemli ölçüde artırır.

Kötü amaçlı komut dosyaları, paketlenmiş kitaplıklardaki güvenlik açıkları veya üretken yapay zeka tarafından oluşturulan kodda istenmeyen davranışlar, hassas bilgileri yetkisiz uç noktalara göndermek için uygulama düzeyindeki kontrolleri atlayabilir. İçerik Güvenliği Politikası (CSP), bir sayfanın yükleyebileceği ve yürütebileceği öğeleri kontrol etmek için güçlü bir araç olsa da sayfanın iletişim kurabileceği yerleri kısıtlamak için bu politikanın karmaşıklığını yönetmek zor olabilir. Bu durum genellikle yetkisiz ağ etkinliğine yer bırakan geniş kapsamlı politikalara yol açar.

Bağlantı izin verilenler listeleri korumalı alanı

Bağlantı izin verilenler listeleri, tarayıcıyı sayfanızdan kaynaklanan tüm ağ bağlantılarının kapı bekçisi yaparak bu riskleri ele almanın doğrudan bir yolunu sunar. Connection-Allowlist HTTP yanıtı üst bilgisini ekleyerek bir site, bağlamı (ör. doküman veya web çalışanı) tarafından başlatılan tüm ağ iletişimi için izin verilen URL kalıplarını belirtir.

Bu özellik, çerçeve düzeyinde "varsayılan olarak reddet" güvenlik duvarını zorunlu kılar. Herhangi bir bağlantı oluşturulmadan önce (ör. alt kaynak getirme, gezinme yönlendirmesi veya WebSocket bağlantısı) tarayıcı, izin verilenler listesine göre hedefi doğrular. Uç nokta eşleşmezse tarayıcı, bağlantıyı ağ düzeyinde engeller. Tarayıcı, kötü amaçlı kod uygulama düzeyindeki mantığı atlamaya çalışsa bile ağ sınırlarını korur.

Bağlantı izin verilenler listelerinin işleyiş şekli

Bağlantı izin verilenler listeleri, tarayıcıyı sayfanızdan kaynaklanan tüm ağ bağlantılarının kapı bekçisi yaparak bu riskleri ele almanın doğrudan bir yolunu sunar. Bir site, Connection-Allowlist HTTP yanıt üst bilgisini ekleyerek bağlamı tarafından başlatılan tüm ağ iletişimi için izin verilen tam URL kalıplarını belirtir. Bu özellik, kaynak denemesi süresince yalnızca doküman bağlamlarında desteklenir.

Herhangi bir bağlantı kurulmadan önce (ör. bir alt kaynak getirme, gezinme yönlendirmesi veya WebSocket bağlantısı) tarayıcı, hedefi izin verilenler listesine göre doğrular. Uç nokta eşleşmiyorsa tarayıcı, bağlantıyı ağ düzeyinde engeller. Bu, kötü amaçlı kod uygulama düzeyindeki mantığı atlamaya çalışsa bile ağ sınırlarının korunmasını sağlar.

response-origin jetonunu kullanma

Yanıtın sunulduğu kaynağı izin verilenler listesine dinamik olarak ekleyen response-origin jetonunu kullanabilirsiniz:

Connection-Allowlist: ("https://api.example.com/*" response-origin)

Bu örnekte sayfa, kaynağındaki herhangi bir yola ve belirtilen API uç noktasına bağlanabilir.

İhlalleri bildirme

Sitenizin işlevselliğini bozmadan olası sorunları izlemek için Connection-Allowlist-Report-Only üstbilgisini kullanabilirsiniz. Bu varyant, politikayı ayrıştırır ve Reporting API'yi kullanarak belirtilen bir uç noktaya ihlal raporları gönderir.

Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint

Temel kullanım alanları

Bağlantı izin verilenler listeleri, yüksek güvenlikli veya dinamik ortamlarda yararlıdır:

• Üretken yapay zeka ve güvenilmeyen kod: Siteniz, kullanıcıların oluşturulan veya güvenilmeyen kodu (ör. E-Tablolar Tuval'de ya da geliştirme sanal alanlarında) yürütmesine izin veriyorsa Bağlantı İzin Verilenler Listeleri, kodun verileri harici alanlara sızdırmasını önleyebilir.
• Üçüncü taraf denetimi: Üçüncü taraf komut dosyası güvenliği ihlal edilse bile yetkisiz sunuculara veri gönderemez.
• Mimari korumalar: Uygulamanızın hassas bölümleri için katı bir ağ sınırı uygulayarak yalnızca onaylanmış arka uçlarla iletişime izin verin.

İçerik Güvenliği Politikası'ndan farklılıklar

Bağlantı izin verilenler listeleri ve CSP benzer amaçlara sahip olsa da birbirini tamamlar:

• Ağ düzeyinde odaklanma: Bağlantı izin verilenler listeleri, bir kaynağın nasıl yüklendiği veya yürütüldüğünden ziyade ağ bağlantılarının hedefine odaklanır.
• Kapsamlı destek: Gezinmeler, yönlendirmeler ve çeşitli web platformu API'leri (ör. Fetch, WebRTC, WebTransport, DNS önceden getirme ve önceden yükleme) tek bir şekilde ele alınır.
• Basitleştirilmiş söz dizimi: Bağlantı izin verilenler listeleri tek bir göreve odaklandığı için yapılandırma ve güvenlik denetimi basitleştirilir.

Bağlantı izin verilenler listeleriyle denemeler yapın

Bağlantı izin verilenler listesi özelliği, yerel test için kullanılabilir. Deneme süreci, Chrome 148'den Chrome 151'e kadar devam edecek. Kaynak denemesi ilerledikçe işlevler eklenmeye devam edecektir. Bu deneme süresinin başında, raporlama işlevi belge bağlamlarıyla sınırlıdır. Özel, paylaşılan ve hizmet çalışanları desteklenmez. Desteklenen özellikler hakkında daha fazla bilgiyi Register for the origin trial (Kaynak denemesi için kaydolma) bölümünde bulabilirsiniz.

Yerel olarak test etme

1. İşareti etkinleştirin: Chrome'u açıp chrome://flags/#connection-allowlist adresine gidin. İşareti Etkin olarak ayarlayın.
2. Üstbilgiyi dağıtın: Yerel geliştirme sunucunuzu Connection-Allowlist HTTP yanıt başlığını gönderecek şekilde yapılandırın. Örneğin, Connection-Allowlist: ("https://api.example.com/*" response-origin).
3. Geliştirici Araçları ile doğrulama: Chrome Geliştirici Araçları'nı açın ve ağ isteklerini tetikleyen işlemleri gerçekleştirin.
   • Ağ paneli: "Engellendi:diğer" olan veya bağlantı hatası gösteren istekleri kontrol edin.
   • Sorunlar sekmesi: Başlığınızda ayrıştırma hataları varsa ayrıntılı raporları inceleyin.

Kaynak denemesine kaydolma

Yerel test geliştirme için harika olsa da üretimde kullanıcılarınız için bağlantı izin verilenler listelerini etkinleştirmek üzere kaynak denemesine kaydolmanız gerekir.

1. Chrome deneme sürümü kontrol paneline gidin.
2. Connection Allowlists kaynaklı denemesini bulun ve Kaydol'u tıklayın.
3. Oluşturulan jetonu, Kaynak denemelerini kullanmaya başlama kılavuzunda açıklandığı şekilde sitenizin sayfalarına veya üstbilgilerine ekleyin.

Kaynak denemesinin Chrome 148'den Chrome 151'e kadar sürmesi planlanmaktadır. Kaynak denemesi ilerledikçe işlevler eklenmeye devam eder. Bu nedenle, Bağlantı İzin Listeleri'ni test ederken mevcut web güvenliği mekanizmalarınızı kullanmaya devam etmeniz önemle tavsiye edilir. Intent to Experiment başlıklı makalede, Connection Allowlists uygulamasının kapsadığı ağ uç noktaları hakkında daha ayrıntılı bilgi verilmektedir.

Geri bildirim sağlama

Özelliğin tasarımı ve kullanışlılığı hakkında geri bildirimde bulunma Herhangi bir sorunla karşılaşırsanız veya iyileştirme önerileriniz varsa ekiple iletişime geçin:

• GitHub: WICG/connection-allowlists deposunda bir sorun açın veya mevcut bir soruna yorum yapın.
• Chromium hata izleyicisi: Chromium hata izleyicisinde sorun oluşturun.

Ek kaynaklar

• Bağlantı İzin Verilenler Listesi Spesifikasyonu
• GitHub deposu
• ChromeStatus: Connection Allowlists