Исходное сообщение
"Выпуск web-браузера Chrome 123" Отправлено rvs2016, 21-Мрт-24 03:47
>[оверквотинг удален] > для web-разработчика при отправке страницей запроса > во внутреннюю сеть (192.168.x.x, 10.x.x.x и т.п.), > если подобные запросы выполнены вне безопасного контекста > и не прошли упреждающую проверку. > Перед фактической отправкой инициированного сайтом > запроса к ресурсу во внутренней сети, браузер вначале > отправит упреждающий тестовый запрос и проверит, > возвращён ли сервером HTTP-заголовок > "Access-Control-Allow-Private-Network: true", > разрешающий доступ к интранет сети. А по какому адресу браузер отправит свой "упреждающий тестовый запрос"? Если по какому попало адресу, то в ответ может получить код не 200, а 4xx. А если отправит "упреждающий тестовый запрос" по тому адресу, который записан в ссылке, то тоже может получиться неприятность, только ещё хуже, чем ответы из набора 4xx. Представим ситуацию: Адрес 192.168.0.1/показать_содержимое_только_1_раз/ Браузер отправляет свой "упреждающий тестовый запрос" по этому адресу, получает содержимое и HTTP-заголовок "Access-Control-Allow-Private-Network: true". Увидев true в ответе, браузер отправляет по этому адресу запрос уже не тестовый, а законный и в ответ получает уже другую информацию ("Вы уже видели содержимое, которое разрешено видеть только 1 раз"). Приехали! Доигрались разработчики Чрома со своими недодуманными способами проверки безопасности! :-)))