当前位置:首页-软件资讯-正文

基于安全考虑谷歌浏览器将限制网站访问内部地址避免跨站请求伪造

我们可以使用浏览器轻松访问公共网络上的站点,也可以访问路由器或者是其他内部网络设备使用的内部局域网。

但在以前公共网络上的站点也可以调用某些资源来访问局域网,通常情况下公共站点要访问内部网络是没必要的。

所以在即将推出的Chrome 98和Chrome 101版中,谷歌将逐步实施W3C相关标准中所称的专用网络访问(PNA)

当启用专用网络访问后任何公共站点再想访问局域网资源,都必须在请求前检查跨站资源共享并且获得许可才行。

基于安全考虑谷歌浏览器将限制网站访问内部地址避免跨站请求伪造

主要是降低对路由器的攻击:

家庭中最常见的内网设备就是路由器,路由器可以使用局域网默认地址访问,且有些用户都不会修改路由器密码。

再加上很多路由器因为长时间没有更新而存在漏洞,因此攻击者就可以通过诱导用户访问公共站点进而实施攻击。

基于这种情况谷歌实施的新政策会对公共站点进行限制,若公共站点要访问内部资源必须提前发出跨站资源请求。

在获得浏览器批准且内部服务器响应并进行授权后才可以调用,以此避免某些攻击者使用跨站请求伪造发起攻击。

如果开发者确实要从公共网络调用专用网络资源 ,  那建议提前阅读谷歌实施的新政策并在HTML里增加相应标头

感谢您的阅读,本文为蓝点网原创内容,转载时请标注来源于蓝点网和本文链接

相关文章

换一批