Chrome 正在为根据本地网络访问规范连接到用户本地网络的网站添加新的权限提示。此举旨在保护用户免遭针对专用网络上的路由器和其他设备的跨站请求伪造 (CSRF) 攻击,并降低网站利用这些请求对用户本地网络进行指纹识别的能力。
为了了解此变更对 Web 生态系统的影响,Chrome 团队正在征求开发者的反馈意见。这些开发者构建的 Web 应用依赖于与用户本地网络或用户机器上本地运行的软件建立连接。从 Chrome 138 开始,您可以前往 chrome://flags/#local-network-access-check 并将相应标志设置为“已启用(阻止)”,选择启用这些新限制。
哪些类型的请求会受到影响?
在本地网络访问权限的第一个里程碑中,我们认为“本地网络请求”是指从公共网络到本地网络或环回目的地的任何请求。
本地网络是指解析为 RFC1918 第 3 节中定义的 IPv4 专用地址空间的任何目的地(例如,192.168.0.0/16)、映射的 IPv4 地址本身为私有地址的 IPv4 映射 IPv6 地址,或 ::1/128、2000::/3 和 ff00::/8 子网之外的 IPv6 地址。
环回是指解析为以下地址空间的任何目的地:RFC1122(IPv4)第 3.2.1.3 节中定义的“环回”空间 (127.0.0.0/8)、RFC3927(IPv4)中定义的“链路本地”空间 (169.254.0.0/16)、RFC4193(IPv6)第 3 节中定义的“唯一本地地址”前缀 (fcc00::/7),或 RFC4291(IPv6)第 2.5.6 节中定义的“链路本地”前缀 (fe80::/10)。
详细请阅读官方文档:https://developer.chrome.google.cn/blog/local-network-access?hl=zh_cn
