谷歌瀏覽器已宣佈計劃禁止公共網站直接訪問位於專用網路中的端點,作為即將到來的重大安全改革的一部分,以防止透過瀏覽器進行入侵。
擬議的更改將分兩個階段推出,包括計劃在未來幾個月內透過新實現的W3C規範(稱為專用網路訪問(PNA))釋出Chrome 98和Chrome 101。
"Chrome將在任何私有網路請求子資源之前開始傳送CORS預檢請求,該請求要求目標伺服器的明確許可,"Titouan Rigoudy和Eiji Kitamura說。"此預檢請求將攜帶一個新標頭,訪問控制請求專用網路:true,並且對它的響應必須攜帶相應的標頭,訪問控制 - 允許 - 專用網路:true。
這意味著從Chrome版本101開始,任何透過網際網路訪問的網站都將被要求在訪問內部網路資源之前尋求瀏覽器的明確許可。換句話說,新的PNA規範在瀏覽器內部增加了一項規定,透過該規定,網站可以請求位於本地網路後面的伺服器以獲取連線。
"該規範還擴充套件了跨域資源共享(CORS)協議,因此網站現在必須明確地從專用網路上的伺服器請求授權,然後才能允許傳送任意請求,"Rigoudy在2021年8月指出,當時Google首次宣佈計劃棄用從不安全網站訪問專用網路端點。
研究人員說,目標是保護使用者免受針對專用網路上的路由器和其他裝置的跨站點請求偽造(CSRF)攻擊,這使得不良行為者能夠將毫無戒心的使用者重新路由到惡意域。
