Chrome 正在计划禁止从非安全网站发起的专用网络请求,目的是保护用户免受针对专用网络上的路由器和其他设备的跨站点请求伪造 (CSRF) 攻击:
- 从 Chrome 94 开始阻止来自不安全公共网站的私有网络请求 。
- 在 Chrome 101 中结束的弃用试验 。
- 在 Chrome 92 中引入一些 Chrome 策略,允许托管的 Chrome 部署永久绕过弃用 。
![浏览器打不开localhost原因 localhost8080无法访问](http://pic.yunnanlong.com/220910/0326163308-0.png)
一般,我们在企业里搭建的局域网、家庭网络里的局域网、你本地的 localhost,都属于专用网络 。
专用网络访问规范专用网络访问规范(以前称为 CORS-RFC1918)会限制网站向专用网络上的服务器发送请求的能力 。它只允许来自安全上下文(HTTPS)的此类请求 。该规范还扩展了跨域资源共享 (CORS) 协议,因此网站现在必须要经过专用网络上的服务器授权会才能发送请求 。
![浏览器打不开localhost原因 localhost8080无法访问](http://pic.yunnanlong.com/220910/03261C357-1.png)
私有网络请求是其目标服务器的 IP 地址比获取请求发起者的 IP 地址更私有的请求 。例如,从公共网站 ( https://example.com) 到私有网站 (http://router.local) 的请求,或从私有网站到 localhost 的请求 。我们在开发过程中,这几种情况实际上是比较常见的,所以需要开发者提前试用并作出应对 。
访问 localhost如果你的网站需要向 localhost 发出请求,那么你只需要将你的网站升级到 HTTPS 。混合内容不会阻止以 http://localhost(或 http://127.*.*.*、http://[::1])为目标的请求,即使是从安全上下文发出的 。
请注意,这里有个坑,WebKit 引擎和基于它的浏览器(比如 Safari)这里并没有遵循 W3C 混合内容规范,上面这些请求会作为混合内容并禁止访问 。它们也没有实现专用网络访问,因此网站如果使用此类浏览器的客户端,需要试用 HTTP 协议,此类浏览器仍允许向 localhost 发出请求 。访问私有 IP如果你的网站需要向私有 IP 地址上的目标服务器发出请求,那么简单地将发起方网站升级到 HTTPS是行不通的 。混合内容会阻止安全上下文通过明文 HTTP 发出请求,因此新获得安全保护的网站仍会发现自己无法发出请求 。有几种方法可以解决这个问题:
将两端都升级为HTTPS这个方案难度有点大,因为 HTTPS 只会面向公共域名办法,你需要先给你的私有 IP 注册一个公共域名,然后配置 DNS 解析把公共域名指向这个私有 IP,最后再给域名配置 TLS 证书 。
使用 WebTransport这个方案不需要自己控制 DNS 解析,你需要在私有网络上自己搭建一个 WebTransport 服务器 。WebTransport 是 WebRTC 体系下的一套浏览器API,提供低延迟,client 和 server之间双向通信的能力 。
- WebTransport 提供基于 QUIC 和 HTTP3 实现的API,自动获得 QUIC 和 HTTP3本身的特性,比如应用层的拥塞,避免队头阻塞 。
- 双向通信的能力,多个传输通道复用一个连接的能力,能够很好的替代 WebSocket 。
- 提供发送/接受不可靠 UDP 的能力,这个是浏览器一直欠缺的能力 。
反向嵌入 。网站的框架可以从私有服务器获取,然后从公共服务器(如CDN)获取它的所有子资源(如 script 或 image) 。这样生成的网站可以向私有服务器发出请求,因为这些请求是同源的,它甚至可以向其他使用私有 ip 发出请求 。
推荐阅读
- ps打马赛克快捷方法 ps图片马赛克怎么打
- 1000炮打鱼机图片 千炮捕鱼机海豚的真假怎么看?
- win10共享找不到网络路径 共享文件夹打不开怎么办
- 打嗝不止是什么原因 打嗝不停有可能是疾病的信号吗?
- 3d打印建模简易教程 3d打印测试模型制作
- 如果只打一针就足够的话为什么要求人打2针
- 疫苗打针不打针会不会有效果呢
- 花生核桃芝麻打豆浆喝有什么好处
- 打豆浆可以用大豆与什么食材搭配
- 小米配什么打豆浆好喝又营养呢