連線許可清單來源試用：保護網頁應用程式的網路

José Luis Zapata

發布日期：2026 年 4 月 16 日

隨著網路應用程式日益複雜，尤其是整合生成式 AI 後，保護使用者資料已成為首要之務。因此，我們宣布推出「連線許可清單」的來源試用計畫，這項新安全機制可為文件和 worker 建立網路沙箱。

背景

在現代網路生態系統中，敏感資料會不斷在用戶端和伺服器之間移動。這種流動性加上第三方指令碼的複雜供應鏈，以及生成式 AI 動態生成的程式碼，大幅增加了資料竊取的風險。

惡意指令碼、隨附程式庫中的安全漏洞，或是生成式 AI 生成程式碼中的非預期行為，都可能繞過應用程式層級的檢查，將私密資訊傳送至未經授權的端點。內容安全政策 (CSP) 是強大的工具，可控管網頁載入及執行的內容，但要管理其複雜性，以限制網頁通訊位置可能很困難。這通常會導致政策範圍過於廣泛， 讓未經授權的網路活動有機可乘。

連線許可清單沙箱

連線允許清單可直接解決這些風險，讓瀏覽器成為源自網頁的所有網路連線的守門員。網站只要加入 Connection-Allowlist HTTP 回應標頭，就能指定允許所有網路通訊的確切網址模式，例如文件或網頁工作站啟動的通訊。

這項功能會強制執行架構層級的「預設拒絕」防火牆。建立任何連線 (例如擷取子資源、導覽重新導向或 WebSocket 連線) 前，瀏覽器會根據許可清單驗證目的地。如果端點不相符，瀏覽器會在網路層級封鎖連線。即使惡意程式碼嘗試略過應用程式層級邏輯，瀏覽器仍會維持網路界線。

連線許可清單的運作方式

連線允許清單可直接解決這些風險，讓瀏覽器成為源自網頁的所有網路連線的守門員。網站只要加入 Connection-Allowlist HTTP 回應標頭，就能指定允許其環境啟動的所有網路通訊確切網址模式。在來源試用期間，這項功能僅支援文件環境。

建立任何連線 (例如擷取子資源、導覽重新導向或 WebSocket 連線) 前，瀏覽器會根據允許清單驗證目的地。如果端點不相符，瀏覽器會在網路層級封鎖連線。即使惡意程式碼嘗試略過應用程式層級的邏輯，這項措施也能確保網路界線維持不變。

使用 response-origin 權杖

您可以使用 response-origin 權杖，動態將提供回應的來源新增至允許清單：

Connection-Allowlist: ("https://api.example.com/*" response-origin)

在本例中，網頁可以連線至來源上的任何路徑，以及指定的 API 端點。

檢舉違規行為

如要監控潛在問題，但不想中斷網站功能，可以使用 Connection-Allowlist-Report-Only 標頭。這個變體會剖析政策，並使用 Reporting API 將違規報表傳送至指定端點。

Connection-Allowlist: ("https://trusted.com/*"); report-to=security-endpoint

主要應用實例

連線許可清單適用於高安全性或動態環境：

• 生成式 AI 和不受信任的程式碼：如果您的網站允許使用者執行生成或不受信任的程式碼 (例如在試算表畫布或開發沙箱中)，連線許可清單可防止程式碼將資料外洩至外部網域。
• 第三方監督：您可以確保即使第三方指令碼遭到入侵，也無法將資料傳送至未經授權的伺服器。
• 架構安全防護：針對應用程式的敏感部分強制執行嚴格的網路界線，確保只能與核准的後端通訊。

與內容安全政策的差異

連線許可清單和 CSP 的目標相似，但兩者相輔相成：

• 網路層級：連線允許清單著重於網路連線的目的地，而非資源的載入或執行方式。
• 涵蓋範圍廣泛：以統一的方式涵蓋導覽、重新導向和各種網頁平台 API，例如 Fetch、WebRTC、WebTransport、DNS 預先擷取和預先載入。
• 簡化語法：連線允許清單專注於單一工作，可簡化設定和安全稽核。

試用連線許可清單

連線允許清單功能適用於本機測試。來源試用預計從 Chrome 148 開始，到 Chrome 151 結束。隨著來源試用期進展，我們會持續新增功能。在試用期開始時，報表功能僅限於文件環境，不支援專用、共用和服務工作人員。如要進一步瞭解支援的項目，請參閱「註冊來源試用」一節。

在本機測試

1. 啟用標記：開啟 Chrome 並前往 chrome://flags/#connection-allowlist。將旗標設為「啟用」。
2. 部署標頭：設定本機開發伺服器，傳送 Connection-Allowlist HTTP 回應標頭。例如 Connection-Allowlist: ("https://api.example.com/*" response-origin)。
3. 使用開發人員工具驗證：開啟 Chrome 開發人員工具，並執行會觸發網路要求的動作。
   • 「網路」面板：檢查是否有「blocked:other」的要求，或顯示連線錯誤。
   • 「問題」分頁：如果標頭中出現任何剖析錯誤，請查看詳細報表。

註冊來源試用

雖然本機測試很適合用於開發，但您必須註冊來源試用，才能在正式環境中為使用者啟用連線許可清單。

1. 前往 Chrome 來源試用資訊主頁。
2. 找出「連線允許清單」來源試用，然後按一下「註冊」。
3. 按照「開始使用來源試用計畫」指南中的說明，將產生的權杖新增至網站的網頁或標題。

來源試用預計從 Chrome 148 版開始，到 Chrome 151 版結束。 隨著來源試用階段的進展，我們將持續新增功能，因此強烈建議您在測試連線許可清單時，繼續使用現有的網路安全機制。「實驗意圖」進一步詳細說明連線許可清單實作涵蓋的網路端點。

提供意見

針對這項功能的設計和實用性提供意見。如有任何問題或改善建議，請與團隊聯絡：

• GitHub：在 WICG/connection-allowlists 存放區中開啟問題，或對現有問題發表評論。
• Chromium 錯誤追蹤工具：在 Chromium 錯誤追蹤工具中建立問題。

其他資源

• 連線許可清單規格
• GitHub 存放區
• ChromeStatus：連線允許清單