出于安全方面的考量以及過去被惡意軟件濫用的情況，Google 表示 Chrome 浏覽器近期将阻止互聯網網站和本地私人網絡内的設備/服務器之間的查詢和互動。這一變化将通過實施新的 W3C 規範來實現，該規範被稱為私人網絡訪問（PNA），将在今年上半年推出。

新的 PNA 規範在 Chrome 浏覽器内增加了一個機制，通過該機制，互聯網網站可以在建立連接前向本地網絡内的系統征求許可。Google 表示：

Chrome 浏覽器将在任何子資源的私人網絡請求之前開始發送 CORS 預檢請求，該請求要求目标服務器給予明确許可。

這個預檢請求将攜帶一個新的頭，即 Access-Control-Request-Private-Network: true，而對它的響應必須攜帶一個相應的頭，即 Access-Control-Allow-Private-Network: true。

如果本地設備，如服務器或路由器未能響應，互聯網網站将被阻止連接。新的 PNA 規範是近年來将被添加到 Chrome 浏覽器中的最重要的安全功能之一。自 2010 年代初以來，網絡犯罪團夥已經意識到，他們可以利用浏覽器作為“代理”，轉發連接到公司的内部網絡。

例如，一個惡意網站可能包含試圖訪問192.168.0.1這樣一個IP地址的代碼，這是大多數路由器管理面闆的典型地址，隻能從本地網絡訪問。當用戶訪問這種惡意網站時，他們的浏覽器可以在用戶不知情的情況下向他們的路由器發出自動請求，發送惡意代碼，繞過路由器的認證，修改路由器設置。

這種攻擊此前确實發生過。這種互聯網到本地網絡的攻擊的變種也可以針對其他本地系統，如内部服務器、域控制器、防火牆，甚至本地托管的應用程序（通過http://localhost 域或其他本地定義的域）。通過在Chrome浏覽器内部引入PNA規範及其權限協商系統，Google希望防止這種自動攻擊成為可能。

據Google稱，PNA 的一個版本已經與 2021 年 11 月發布的 Chrome 96 一起上線，但全面支持将在今年分兩個階段推出，分别是 Chrome 98（3月初）和Chrome 101（5月底）的發布，詳情如下。

在 Chrome 98 中。

● Chrome會在私有網絡子資源請求之前發送預檢請求。

● 預檢失敗隻在DevTools中顯示警告，不影響私人網絡請求。

● Chrome收集兼容性數據，并向受影響最大的網站伸出援手。

● Google 預計這将與現有網站廣泛兼容。

最早在Chrome 101 中全面部署

● 隻有當兼容性數據表明該變化足夠安全，并且我們在必要時直接進行了外聯時，這才會開始。

● Chrome浏覽器強制要求預檢請求必須成功，否則會導緻請求失敗。

● 廢棄試驗也同時開始，以允許受此階段影響的網站請求延長時間。該試驗将持續至少6個月。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!