公開日: 2024 年 10 月 9 日
プライベート ネットワーク アクセス(PNA)は、公開ウェブサイトがプライベート ネットワーク上のエンドポイントを明示的に有効にしない限り、エンドポイントにアクセスできないようにするセキュリティ機能です。これにより、クロスサイト リクエスト フォージェリ(CSRF)などのさまざまな攻撃を防ぐことができます。PNA では、セキュアなコンテキストのみがプライベート ネットワークからサブリソースをリクエストできます。最終的には、すべてのプライベート ネットワーク リクエストが、プリフライト リクエストに応答してエンドポイントがオプトインした場合にのみ機能するようにすることが目標です。
PNA プリフライト リクエストが Chrome 130 から適用されることは、以前にお知らせしました。互換性の問題により、このロールアウトは現在保留されています。
現在、プライベート ネットワーク リクエストはセキュアなコンテキストにのみ制限されています。ウェブサイトがオプトアウトするための非推奨トライアルも実施されています。PNA の事前フライトは現在適用されていません。最近、プライベート ネットワーク アクセスに 0.0.0.0/8 を追加し、仕様の問題に対処しました。つまり、安全でないコンテキストは 0.0.0.0/8 へのアクセスが制限され、PNA 適用の今後のロールアウトでは、0.0.0.0 はローカル アドレスとして扱われます。ロールアウトを容易にするために、追加の権限などの代替手段を検討しています。新しいロールアウト計画が決まり次第、このブログで詳細をお知らせします。