谷歌浏览器已宣布计划禁止公共网站直接访问位于专用网络中的端点,作为即将到来的重大安全改革的一部分,以防止通过浏览器进行入侵。
拟议的更改将分两个阶段推出,包括计划在未来几个月内通过新实现的W3C规范(称为专用网络访问(PNA))发布Chrome 98和Chrome 101。
"Chrome将在任何私有网络请求子资源之前开始发送CORS预检请求,该请求要求目标服务器的明确许可,"Titouan Rigoudy和Eiji Kitamura说。"此预检请求将携带一个新标头,访问控制请求专用网络:true,并且对它的响应必须携带相应的标头,访问控制 - 允许 - 专用网络:true。
这意味着从Chrome版本101开始,任何通过互联网访问的网站都将被要求在访问内部网络资源之前寻求浏览器的明确许可。换句话说,新的PNA规范在浏览器内部增加了一项规定,通过该规定,网站可以请求位于本地网络后面的服务器以获取连接。
"该规范还扩展了跨域资源共享(CORS)协议,因此网站现在必须明确地从专用网络上的服务器请求授权,然后才能允许发送任意请求,"Rigoudy在2021年8月指出,当时Google首次宣布计划弃用从不安全网站访问专用网络端点。
研究人员说,目标是保护用户免受针对专用网络上的路由器和其他设备的跨站点请求伪造(CSRF)攻击,这使得不良行为者能够将毫无戒心的用户重新路由到恶意域。
,
