分阶段推出从Chrome 98开始,并带有DevTools警告失败的前飞行请求
Chrome正在将直接访问从公共网站访问对私人网络端点,以保护用户免受beplay体育能用吗跨站点伪造((CSRF)攻击。
浏览器实施的第二部分专用网络访问(PNA)规范,该动作是专门设计的,以阻止针对路由器和其他设备在专用网络上的CSRF攻击。
Chrome软件工程师Titouan Rigoudy和Google Developer Advocate Eiji Kitamura在A中解释说:“这些攻击影响了数十万用户,使攻击者可以将其重定向到恶意服务器。”博客文章。
飞行前筛选
更改的两部分分阶段将从铬合金98 - 预计将在2月初着陆 - 发送交叉原始资源共享((科尔斯)前飞行前请求之前的私人网络子资源请求。
有关的Safari 15中的相同原始违规脆弱性可能会泄露用户的网站历史和身份beplay体育能用吗
不管私人网络请求的方法和模式如何,飞行前请求将请求目标网站的许可,以向标头发送HTTP请求beplay体育能用吗访问控制 - 重试私人网络:true。如果授予许可,响应将带有标题访问控制 - 允许私人网络:true。
Rigoudy和Kitamura说:“这确保了目标服务器了解CORS协议,并大大降低了CSRF攻击的风险。”
分阶段推出
飞行前故障将触发DevTools中的警告,而不会影响专用网络请求。
但是,从最早的Chrome 101开始 - 取决于第一阶段兼容性数据的结果,并首先与受影响的网站联系 - 拒绝前飞行前请求将被阻止。beplay体育能用吗
beplay体育能用吗Web管理员可以通过命令行参数测试其网站是否在第二阶段之后工作 -访问控制 - 允许私人网络:true- 这会产生失败的获取,以解决失败的前飞行前请求。
尽管Chrome团队并不期望第一阶段会破坏任何网站,但他们仍然敦促网站管理员通过处理服务器端上的飞行前请求或通过企业策略禁用PNA检查来更新beplay体育能用吗受影响的请求路径。
持续至少六个月的弃用试验将从第二阶段开始,以允许受影响的网站要求延长时间。beplay体育能用吗
PNA实施时间表
PNA以前称为CORS-RFC1918,限制了网站向网络上的服务器发送请求的能力,而网络上的服务器比启动请求的网络更私密。beplay体育能用吗
铬有已经实施了Chrome 96中规范的一部分,因为仅允许安全上下文来提出专用网络请求时。
该规范还扩展了交叉原始资源共享(CORS)协议,以要求网站在允许发送任意请求之前明确要求从专用网络上的服务器索取赠款。beplay体育能用吗
Chrome团队的“暂定目标”旨在引入分阶段推出,以进一步扩展PNA检查,以涵盖Chrome 100的专用,共享和服务网络工作者,并涵盖Chrome 102的导航,包括iFrames和弹出窗口。beplay体育能用吗
