出于安全考量 Chrome即将限制私有网络访问

蓝天二号

出于安全方面的考量以及过去被恶意软件滥用的情况，Google 表示 Chrome 浏览器近期将阻止互联网网站和本地私人网络内的设备/服务器之间的查询和互动。这一变化将通过实施新的 W3C 规范来实现，该规范被称为私人网络访问（PNA），将在今年上半年推出。

新的 PNA 规范在 Chrome 浏览器内增加了一个机制，通过该机制，互联网网站可以在建立连接前向本地网络内的系统征求许可。Google 表示：

Chrome 浏览器将在任何子资源的私人网络请求之前开始发送 CORS 预检请求，该请求要求目标服务器给予明确许可。

这个预检请求将携带一个新的头，即 Access-Control-Request-Private-Network: true，而对它的响应必须携带一个相应的头，即 Access-Control-Allow-Private-Network: true。

如果本地设备，如服务器或路由器未能响应，互联网网站将被阻止连接。新的 PNA 规范是近年来将被添加到 Chrome 浏览器中的最重要的安全功能之一。自 2010 年代初以来，网络犯罪团伙已经意识到，他们可以利用浏览器作为“代{过}{滤}理”，转发连接到公司的内部网络。

例如，一个恶意网站可能包含试图访问192.168.0.1这样一个IP地址的代码，这是大多数路由器管理面板的典型地址，只能从本地网络访问。当用户访问这种恶意网站时，他们的浏览器可以在用户不知情的情况下向他们的路由器发出自动请求，发送恶意代码，绕过路由器的认证，修改路由器设置。

这种攻击此前确实发生过。这种互联网到本地网络的攻击的变种也可以针对其他本地系统，如内部服务器、域控制器、防火墙，甚至本地托管的应用程序（通过http://localhost 域或其他本地定义的域）。通过在Chrome浏览器内部引入PNA规范及其权限协商系统，Google希望防止这种自动攻击成为可能。

据Google称，PNA 的一个版本已经与 2021 年 11 月发布的 Chrome 96 一起上线，但全面支持将在今年分两个阶段推出，分别是 Chrome 98（3月初）和Chrome 101（5月底）的发布，详情如下。

在 Chrome 98 中。

● Chrome会在私有网络子资源请求之前发送预检请求。

● 预检失败只在DevTools中显示警告，不影响私人网络请求。

● Chrome收集兼容性数据，并向受影响最大的网站伸出援手。

● Google 预计这将与现有网站广泛兼容。

最早在Chrome 101 中全面部署

● 只有当兼容性数据表明该变化足够安全，并且我们在必要时直接进行了外联时，这才会开始。
● Chrome浏览器强制要求预检请求必须成功，否则会导致请求失败。

● 废弃试验也同时开始，以允许受此阶段影响的网站请求延长时间。该试验将持续至少6个月。

翼风Fly

ask007 发表于 2022-1-13 20:17
也就是说不能用chrome打开路由器的管理页面了？

当然不是。

-------
这种文章....该怎么说呢...大概是因为小编属于外行的缘故想搞个大新闻...(?)
这其实只是一个技术实现细节，对于广大的最终用户而言没什么影响。
重申：这个安全措施对普通用户而言应该是没什么影响的，受影响的是网站的开发者。
可以参阅此文：
https://blog.csdn.net/wangshiwei112/article/details/120447580
说白了，不过是不同网络下的网站之间通信会加一层安全限制。
文章还用 “PNA” 来说事，谁知道这是什么鬼.... 查了一下发现其实是 “Private Network Access”，属于 W3C 标准规范的提案，翻译成“私人网络访问”也是服了，起码也得是“私有网络访问”啊，进一步可以得出为“专用网络访问规范”，这是拿有道翻译一下就不管了吧？
小编写这种文章不是什么坏事，但作为外行，抹去关键信息攥写文章，又弄不明白其中道理，窃以为其作为编辑是有所欠缺的。
对于我们读者，也不必太过担心，你只需要知道该用啥还用啥，几乎不会受到什么影响。路由器厂商真若受影响，他们比你还头大，然后第一时间弄出解决方案，到你这里依然该怎么用就怎么用。
不必理会

ask007

也就是说不能用chrome打开路由器的管理页面了？

xxl11231220

设置好路由器密码即使能访问也无法登录

2202rof

就是增加层安检，跟着google演进就行了。
那话怎么说的？不服高人有罪。