게시일: 2024년 10월 9일
비공개 네트워크 액세스 (PNA)는 공개 웹사이트가 엔드포인트가 명시적으로 선택하지 않은 비공개 네트워크의 엔드포인트에 액세스하지 못하도록 하는 보안 기능입니다. 이는 Cross-Site Request Forgery (CSRF)와 같은 다양한 공격을 방지합니다. PNA를 사용하면 안전한 컨텍스트만 비공개 네트워크에서 하위 리소스를 요청할 수 있으며, 궁극적으로는 엔드포인트가 프리플라이트 요청에 응답하여 선택한 경우에만 모든 비공개 네트워크 요청이 작동하도록 하는 것이 목표입니다.
Chrome 130부터 PNA 프리플라이트 요청이 시행된다고 이전에 발표한 바 있습니다. 이 출시는 현재 여러 호환성 문제로 인해 보류 중입니다.
비공개 네트워크 요청은 현재 보안 컨텍스트로만 제한되며, 웹사이트에서는 지원 중단 체험판을 통해 선택 해제할 수 있습니다. 현재 PNA 사전 비행은 시행되지 않습니다. 최근에는 사양의 문제를 해결하기 위해 비공개 네트워크 액세스에 0.0.0.0/8를 추가했습니다. 즉, 안전하지 않은 컨텍스트는 0.0.0.0/8에 액세스할 수 없으며 향후 PNA 적용 출시는 0.0.0.0를 로컬 주소로 취급합니다. Google은 출시를 원활하게 진행하기 위해 추가 권한과 같은 대안을 고려하고 있으며, 새로운 출시 계획이 결정되면 이 블로그에 자세한 정보를 게시할 예정입니다.