Bản dùng thử theo nguyên gốc Danh sách cho phép kết nối: Bảo mật mạng của ứng dụng web

José Luis Zapata

Xuất bản: Ngày 16 tháng 4 năm 2026

Vì các ứng dụng web ngày càng phức tạp, đặc biệt là khi AI tạo sinh tích hợp ngày càng phát triển, nên việc bảo vệ dữ liệu người dùng là ưu tiên hàng đầu. Đó là lý do chúng tôi thông báo về bản dùng thử theo nguyên gốc cho Danh sách cho phép kết nối, một cơ chế bảo mật mới tạo ra một hộp cát mạng cho các tài liệu và worker.

Thông tin khái quát

Trong một hệ sinh thái web hiện đại, dữ liệu nhạy cảm liên tục di chuyển giữa các ứng dụng và máy chủ. Tính di động này, kết hợp với chuỗi cung ứng phức tạp gồm các tập lệnh của bên thứ ba và sự gia tăng của mã được tạo động từ AI tạo sinh, làm tăng đáng kể nguy cơ đánh cắp dữ liệu.

Các tập lệnh độc hại, lỗ hổng bảo mật trong các thư viện đi kèm hoặc hành vi không mong muốn trong mã do AI tạo sinh tạo có thể bỏ qua các quy trình kiểm tra ở cấp ứng dụng để gửi thông tin nhạy cảm đến các điểm cuối không được phép. Mặc dù Chính sách bảo mật nội dung (CSP) là một công cụ mạnh mẽ để kiểm soát những gì một trang có thể tải và thực thi, nhưng việc quản lý độ phức tạp của chính sách này để hạn chế cụ thể nơi một trang giao tiếp có thể là một thách thức. Điều này thường dẫn đến các chính sách chung chung, tạo điều kiện cho hoạt động mạng trái phép.

Hộp cát Danh sách cho phép kết nối

Danh sách cho phép kết nối cung cấp một phương pháp trực tiếp để giải quyết những rủi ro này bằng cách biến trình duyệt thành người kiểm soát tất cả các kết nối mạng bắt nguồn từ trang của bạn. Bằng cách thêm tiêu đề phản hồi HTTP Connection-Allowlist, một trang web chỉ định các mẫu URL chính xác được phép cho mọi hoạt động giao tiếp mạng do ngữ cảnh của trang web đó khởi tạo, chẳng hạn như một tài liệu hoặc một worker trên web.

Tính năng này thực thi tường lửa "từ chối theo mặc định" ở cấp khung. Trước khi thiết lập bất kỳ kết nối nào, chẳng hạn như một lệnh tìm nạp tài nguyên phụ, một lệnh chuyển hướng điều hướng hoặc một kết nối WebSocket, trình duyệt sẽ xác minh đích đến dựa trên danh sách cho phép. Nếu điểm cuối không khớp, trình duyệt sẽ chặn kết nối ở cấp mạng. Trình duyệt duy trì các ranh giới mạng ngay cả khi mã độc cố gắng bỏ qua logic cấp ứng dụng.

Cách hoạt động của Danh sách cho phép kết nối

Danh sách cho phép kết nối cung cấp một phương pháp trực tiếp để giải quyết những rủi ro này bằng cách biến trình duyệt thành người kiểm soát tất cả các kết nối mạng bắt nguồn từ trang của bạn. Bằng cách thêm tiêu đề phản hồi HTTP Connection-Allowlist, một trang web sẽ chỉ định các mẫu URL chính xác được phép cho mọi hoạt động giao tiếp mạng do bối cảnh của trang web đó khởi tạo. Đối với bản dùng thử theo nguyên gốc, tính năng này chỉ được hỗ trợ cho các ngữ cảnh tài liệu.

Trước khi thiết lập bất kỳ kết nối nào, chẳng hạn như một lệnh tìm nạp tài nguyên phụ, một lệnh chuyển hướng điều hướng hoặc một kết nối WebSocket, trình duyệt sẽ xác minh đích đến dựa trên danh sách cho phép. Nếu điểm cuối không khớp, trình duyệt sẽ chặn kết nối ở cấp mạng. Điều này đảm bảo rằng các ranh giới mạng được duy trì ngay cả khi mã độc cố gắng bỏ qua logic cấp ứng dụng.

Dùng mã thông báo `response-origin`

Bạn có thể sử dụng mã thông báo response-origin. Mã thông báo này sẽ tự động thêm nguồn gốc mà phản hồi được phân phát vào danh sách cho phép:

Connection-Allowlist: ("https://api.example.com/*" response-origin)

Trong ví dụ này, trang có thể kết nối với mọi đường dẫn trên nguồn gốc của trang và điểm cuối API được chỉ định.

Báo cáo lỗi vi phạm

Để theo dõi các vấn đề tiềm ẩn mà không làm gián đoạn chức năng của trang web, bạn có thể sử dụng tiêu đề Connection-Allowlist-Report-Only. Biến thể này phân tích cú pháp chính sách và gửi báo cáo vi phạm đến một điểm cuối được chỉ định bằng cách sử dụng Reporting API.

Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint

Các trường hợp sử dụng chính

Danh sách cho phép kết nối rất hữu ích cho các môi trường có tính bảo mật cao hoặc môi trường động:

AI tạo sinh và mã không đáng tin cậy: Nếu trang web của bạn cho phép người dùng thực thi mã được tạo hoặc mã không đáng tin cậy (ví dụ: trong Canvas của Trang tính hoặc hộp cát phát triển), thì Danh sách cho phép kết nối có thể ngăn mã trích xuất dữ liệu sang các miền bên ngoài.
Giám sát bên thứ ba: Bạn có thể đảm bảo rằng ngay cả khi tập lệnh của bên thứ ba bị xâm nhập, tập lệnh đó cũng không thể gửi dữ liệu đến các máy chủ không được phép.
Các biện pháp bảo vệ về cấu trúc: Thực thi ranh giới mạng nghiêm ngặt cho các phần nhạy cảm của ứng dụng, đảm bảo chỉ giao tiếp với các phần phụ trợ đã được phê duyệt.

Khác biệt so với Chính sách bảo mật nội dung

Mặc dù Danh sách cho phép kết nối và CSP có mục tiêu tương tự nhau, nhưng chúng bổ sung cho nhau:

Tập trung vào cấp độ mạng: Danh sách cho phép kết nối tập trung vào đích đến của các kết nối mạng, thay vì cách tải hoặc thực thi tài nguyên.
Phạm vi bao phủ toàn diện: Chính sách này bao gồm các hoạt động điều hướng, chuyển hướng và nhiều API nền tảng web, ví dụ: Tìm nạp, WebRTC, WebTransport, tìm nạp trước DNS và tải trước theo cách thống nhất.
Cú pháp đơn giản: Danh sách cho phép kết nối tập trung vào một tác vụ duy nhất, giúp đơn giản hoá việc định cấu hình và kiểm tra bảo mật.

Thử nghiệm với danh sách cho phép kết nối

Tính năng Danh sách cho phép kết nối có sẵn để kiểm thử cục bộ. Thử nghiệm nguồn dự kiến sẽ diễn ra từ Chrome 148 đến Chrome 151. Chúng tôi sẽ tiếp tục bổ sung chức năng khi bản dùng thử theo nguyên gốc tiến triển. Khi bắt đầu thời gian dùng thử này, chức năng báo cáo chỉ giới hạn ở ngữ cảnh tài liệu; không được hỗ trợ các Worker chuyên dụng, Worker dùng chung và Worker dịch vụ. Bạn có thể xem thêm thông tin chi tiết về những nội dung được hỗ trợ trong phần Đăng ký bản dùng thử theo nguyên gốc.

Kiểm thử cục bộ

Bật cờ: Mở Chrome rồi chuyển đến chrome://flags/#connection-allowlist. Đặt trạng thái cờ thành Đã bật.
Triển khai tiêu đề: Định cấu hình máy chủ phát triển cục bộ để gửi tiêu đề phản hồi HTTP Connection-Allowlist. Ví dụ: Connection-Allowlist: ("https://api.example.com/*" response-origin).
Xác minh bằng Chrome DevTools: Mở Chrome DevTools và thực hiện các thao tác kích hoạt yêu cầu mạng.
- Bảng điều khiển Mạng: Kiểm tra các yêu cầu bị "chặn:khác" hoặc cho thấy lỗi kết nối.
- Thẻ Vấn đề: Tìm báo cáo chi tiết nếu có lỗi phân tích cú pháp trong tiêu đề.

Đăng ký bản dùng thử theo nguyên gốc

Mặc dù kiểm thử cục bộ rất phù hợp cho quá trình phát triển, nhưng bạn cần đăng ký bản dùng thử theo nguyên gốc để bật Danh sách cho phép kết nối cho người dùng trong quá trình phát hành công khai.

Chuyển đến trang tổng quan về các thử nghiệm theo nguyên gốc của Chrome.
Tìm bản dùng thử theo nguyên gốc Connection Allowlists rồi nhấp vào Đăng ký.
Thêm mã thông báo đã tạo vào các trang hoặc tiêu đề của trang web như mô tả trong hướng dẫn Bắt đầu dùng thử nguồn gốc.

Bản dùng thử theo nguyên gốc dự kiến sẽ chạy từ Chrome 148 đến Chrome 151. Các chức năng sẽ tiếp tục được thêm vào khi bản dùng thử theo nguyên gốc tiến triển, vì vậy, bạn nên tiếp tục sử dụng các cơ chế bảo mật web hiện có trong khi thử nghiệm Danh sách cho phép kết nối. Ý định thử nghiệm cung cấp thêm thông tin chi tiết về các điểm cuối mạng do việc triển khai Danh sách cho phép kết nối bao gồm.

Gửi ý kiến phản hồi

Đưa ra ý kiến phản hồi về thiết kế và tính hữu ích của tính năng này. Nếu bạn gặp vấn đề hoặc có đề xuất cải thiện, hãy liên hệ với nhóm:

GitHub: Mở một vấn đề hoặc bình luận về một vấn đề hiện có trong kho lưu trữ WICG/connection-allowlists.
Trình theo dõi lỗi của Chromium: Tạo một vấn đề trong trình theo dõi lỗi của Chromium.

Bản dùng thử theo nguyên gốc Danh sách cho phép kết nối: Bảo mật mạng của ứng dụng web Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.