Publicado em 9 de outubro de 2024
O acesso à rede privada (PNA, na sigla em inglês) é um recurso de segurança que impede que sites públicos acessem endpoints na rede privada sem que eles ativem explicitamente. Isso evita uma variedade de ataques, como falsificação de solicitações entre sites (CSRF). A PNA permite que apenas contextos seguros solicitem subrecursos da rede privada. A meta é que todas as solicitações de rede privada só funcionem se o endpoint ativar a opção respondendo a uma solicitação de pré-voo.
Já havíamos anunciado que as solicitações de simulação de PNA seriam aplicadas no Chrome 130. Esse lançamento está suspenso devido a vários problemas de compatibilidade.
No momento, as solicitações de rede privada estão restritas apenas a contextos seguros, com um teste de descontinuação para sites que podem ser desativados. No momento, os preflights de PNA não são aplicados. Recentemente, adicionamos 0.0.0.0/8 ao acesso à rede privada para resolver um problema na
especificação. Isso significa que contextos não seguros não podem acessar
0.0.0.0/8, e todas as outras implementações da aplicação da PNA vão tratar 0.0.0.0 como
um endereço local. Estamos considerando alternativas como permissões adicionais
para facilitar o lançamento e postaremos neste blog com mais informações assim
que determinarmos um novo plano de lançamento.