出于安全原因，Chrome限制网站对专用网络的直接访问

出于安全原因，Chrome限制网站对专用网络的直接访问

谷歌浏览器(Google Chrome)宣布计划禁止公共网站直接访问位于私人网络内的端点，这是即将进行的重大安全整顿的一部分，以防止通过浏览器的入侵。

提议的改变将分两个阶段推出，包括发布Chrome 98和Chrome 101，计划在未来几个月通过一个新实现的名为私有网络访问(PNA)。

Titouan Rigoudy和Eiji Kitamura说：“Chrome将在任何私有网络请求子资源之前开始发送CORS预检请求，该请求需要目标服务器的明确许可。”“这个预检请求将携带一个新的标头，Access-Control-Request-Private-Network:true，并且对它的响应必须携带相应的标头，Access-Control-Allow-Private-Network:true。”

这意味着从Chrome版本101开始，任何通过Internet访问的网站都必须先征求浏览器的明确许可，然后才能访问内部网络资源。换句话说，新的PNA规范在浏览器中添加了一项规定，通过该规定，网站可以请求本地网络后面的服务器以获得连接。

“该规范还扩展了跨域资源共享(CORS)协议，因此网站现在必须在被允许发送任意请求之前明确地向专用网络上的服务器请求授权，”Rigoudy在2021年8月谷歌首次宣布计划时指出不推荐从非安全网站访问专用网络端点。

研究人员表示，目标是保护用户免受针对路由器和私有网络上其他设备的跨站点请求伪造(CSRF)攻击，这使得不良行为者能够将毫无戒心的用户重新路由到恶意域。