规避 Chrome 的 Private Network Access 问题

最新推荐文章于 2024-04-02 23:10:54 发布
最新推荐文章于 2024-04-02 23:10:54 发布
阅读量745 收藏 1
点赞数 1
分类专栏: 遇到的坑 文章标签: chrome 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39607677/article/details/127302567
版权

为什么会出现

Google 在 Chrome 94 版本之后开始引入 PNA(Private Network Access) 规范:禁止请求在不安全的环境(非 https)下,从公网资源访问私网资源,主要是为了防止 CSRF 攻击。

也就是说在一次请求中,就算目标资源配置了 CORS 头,但只要符合 PNA 规范,Chrome 就会判定为是一次 PNA 请求,从而产生跨域错误。

什么时候会出现

PNA 规范是什么?简单来说,就是如果在一次请求中,目标资源的 ip 比发起请求的资源的 ip 的私密等级高,那么就算这一次请求为私密请求。注意这里的判断要素是 ip,和域名无关。

这里把目标资源分为三种类型,私密等级从低到高排序:

  • 私网资源,定义为范围在 10.0.0.0/8172.16.0.0/12192.168.0.0/16 这几个 ip 段内的资源
  • 本地资源,定义为 127.0.0.0/8 范围内的 ip 的资源
  • 公网资源,定义为除去以上两种类型的其他所有资源

比如,在 baidu.com 资源下发起对 172.16.1.2 资源的请求,就会被 Chrome 判定为 PNA 请求。同级资源之间的请求发送则不受影响。

如何规避

Chrome 109 开始,PNA 资源的弃用试验结束。从此以后所有私有资源的访问都必须基于 https,基本上已经没有其他方案禁用这一规则,只能修改业务逻辑。

在我们的业务中,需要一个可以访问公网资源的电脑向局域网内的 AC 服务器 POST 镜像资源,业务逻辑如下,在 109 版本之后将不可用:

因为配置证书的流程比较麻烦,如果不想配置证书,这里可以使用另外一种方法。

在 Google 的策略中,公网资源访问本地资源,如 localhost 是不需要 https 的要求的。所以我们可以把业务流程转换为下面的步骤:

这里会新增一个本地服务用于转发来自公网资源发出的请求,这里主要需要做的额外工作是配置跨域PNA 预检头

要注意的是,这里会额外增加一些用户成本,需要启动一个服务。

如果这个还嫌麻烦,那还有一个好方法:通过交互引导用户使用其他浏览器进行这一部分操作,比如火狐、Safari,或者低版本内核的 360、QQ 等国产 Chromium 浏览器也可以。

参考

https://developer.chrome.com/blog/private-network-access-update/

法克瓜
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Chrome安全策略更新之私有网络访问(Private Network Access, PNA)
EmotionComputer
05-12 969
什么是公网、私网、内网、外网? 可以这么简单理解。 一般我们称企业或者家庭用户搭建的网络为私网,里面一般都是用私网ip,这些ip如果要访问公网网站的话,需要在私网和公网接口处,做SNAT。一般我们称运营商搭建的网络为公网,主要负责连接各个公司或者家庭的网络,里面的ip都是公网ip,里面也只会出现公网ip组成的路由,因此私网ip进到公网后,是没有路由的,会被丢弃,所以上面提到私网访问公网的话,需要SNAT,把私网IP换成公网IP。 聪明的你肯定会想到,公网要访问私网咋办?这其实涉及到DNAT、VPN等技术,不
private-network-access
05-12
专用网络访问 这是专用网络访问规范的存储库。 欢迎您来贡献! 让我们摆脱困境吧! 您可能有兴趣阅读: 规范: : 解释器: 安全和隐私自我审查:
网络请求避坑,私有网络请求(Private Network Access
最新发布
成长的程序世界,一起成长
04-02 981
网络请求,大家肯定熟悉的不能再熟悉,网络请求失败,大家也肯定很熟悉。但是今天的请求消失之术,99%你不熟悉。
谷歌92版本以上私有网络控制Private Network Access 异常
sea_qiu的博客
11-24 1506
什么是私有网络访问 Private Network Access (以前称为 CORS-RFC1918 )限制了网站向私有网络上的服务器发送请求的能力。 根据规范,此类请求只允许来自安全上下文。另外,该规范扩展了跨域资源共享( CORS )协议,因此网站现在必须在 允许发送任意请求之前,必须显式请求私有网络上服务器的许可。 私有网络是指目标服务器的IP地址比从其获取请求服务器的IP地址更私有的请求。例如,从公共网站( https://example.com )向私有网站( http://router..
chrome://flags/#block-insecure-private-network-requests
qq_37959253的博客
07-13 267
chrome://flags/#block-insecure-private-network-requests
chrome-private:用于Google Chrome浏览器的隔离的临时配置文件(可选)
05-22
chrome-private.sh是一个外壳包装程序,可临时使用Google Chrome浏览器。 核心概念是根据需要创建的一次性轮廓,(可选)在退出时丢弃。 通过包装程序执行Chrome浏览器可实现清晰的细分并将浏览会话隔离到目录中,这些目录可在不再需要时进行复制/移动/保留/删除。 此外,可以使用用户设置/第三方扩展名对配置文件进行预配置,并将其用作模板。 最初,我创建了chrome-private.sh,以便对自己的浏览习惯进行某种程度的控制,并能够更好地管理每天发现的大量信息。 现在,它变得无价,因为它鼓励我设置明确的限制,同时方便地将与特定研究领域相关的所有状态隔离开来,并且还加快了使用范围广泛的配置和浏览方式的实验速度。 特征 禁用缓存,Flash, 推荐人 默认情况下禁用3D API / WebGL和GPU加速,同时允许通过命令行开关重新启用它们。 通过命令行开关启用
chrome 插件 Allow access to file URLs
07-30
AxureRP-extension-for-Chrome-0.6.2 Chrome Version 33.0.1750.146 m 因为众所周知的原因,此插件不能正常下载,但是可以通过离线安装 使用说明: 1 设置---更多工具--扩展程序 2 打开开发者模式 3 加载已解压的...
chrome-extension-network.zip
08-07
chrome扩展关于网络模块的DEMO项目,可直接安装到浏览器,主要介绍网络模块的用法。
获取chrome浏览器的console日志和network下各个组件的详细信息
12-30
1、获取chrome浏览器的console日志 2、network下各个组件的详细信息 3、定时监控 4、日志收集
chrome.devtools.networkChrome插件
01-26
blog文所用源码打包下载地址,使用方式请参考:https://blog.csdn.net/zengraoli/article/details/104085859
FCKeditor 在chrome中不显示问题
10-26
今天在使用chrome打开后台的时候,发现FCKeditor编辑器菜单等都不显示,chrome确实不适合后台使用,以后还是继续ie核心的吧
Chrome 94版本及以后公网网页不能向私网POST请求的问题
白袍小将的博客
10-10 2006
问题: 以前的系统将网页部署在公网,应用服务器部署在私网,用Chrome浏览器一直能够正常工作,今天,突然发现不能工作了,而系统代码未做任何改动,就不行了。通过搜索发现问题的原因如下: 从2021年9月22号,Chrome 94 已正式发布。Chrome 94 默认开启“阻止不安全的专用网络请求”,将使得http的站点请求私有网络接口被拦截。 通过查看Chrome的版本信息如下: 原来我的Chrome浏览器被Google公司偷偷地升级为94版本了,所以出现了问题问题解决办法 1、临.
bug记录-记一次公网向私网的跨域问题
qq_52965813的博客
09-27 1054
1.报错 报错如下:Access to XMLHttpRequest at 'http://局域网地址' from origin 'http://云上的公网地址' has been blocked by CORS policy: The request client is not a secure context and the resource is in more-private address space `private`. 2.跨域产生的场景 这个跨域是因为项目中需要使用到electr
Chrome 94 CORS private adress 问题
GJ_ia的博客
01-09 256
在 CodeReview 时候,发现请求报错,还以为后端环境又坏了(调试环境-囧),查了下页面报错如下private这段英文表示 “因为违反了跨域策略所以请求被阻止了,因为这次请求不是 https 的,并且请求的地址是 private 的”原来不是环境问题,是被 chrome 阻止了。
访问私有地址CORS错误, 解决跨域问题
iewang310的专栏
03-28 1722
在我们的视频直播平台中,经常会碰到用户问我们跨域相关的问题。如果访问的内网地址,这是极大可能会产生跨域相关问题, 这并不是传输上的问题,而是浏览器自带的机制导致的。步骤1: 谷歌浏览器 打开 chrome://flags/#block-insecure-private-network-requests。步骤2 : 找到 Block insecure private network requests. 设置为Disabled。步骤3 : 关闭谷歌浏览器重新打开网页 解决问题
Chrome 98 Private Network Access problem w/ disabled web security: Request had no target IP address
姜兴的专栏
02-13 2278
下面的步骤可以帮助解决 chrome 98 中的问题,对于像 edge 这样的其他浏览器,你需要像 chrome 一样做类似的事情。 对于 MAC 请求使用 chrome 版本 98。您需要按照以下步骤操作:- 在终端上运行此命令 defaults write com.google.Chrome InsecurePrivateNetworkRequestsAllowed -bool true 重新启动您的浏览器,不起作用然后重新启动您的机器 对于 WINDOWS 运行“reged
谷歌跨域问题(谷歌108版本及其以上Block insecure private network requests被隐藏) 解决方法
Xin_shou__的博客
12-12 7749
谷歌跨域问题(谷歌108版本及其以上Block insecure private network requests被隐藏) 解决方法

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值