[[433003]]

文末本文轉載自微信公眾號「云的程序世界」，作者云的世界 。轉載本文請聯系云的程序世界公眾號。

前言

網絡請求，大家肯定熟悉的不能再熟悉，網絡請求失敗，大家也肯定很熟悉。排查網絡請求，也是我們必備的技能，對不，兄弟。

我坦言，最怕兩種網絡請求失敗。

第一種：PC端模擬沒有異常，到手機上 eruda, vconsole等網絡請求信息空白。

這種，就比較頭大一點了，可能需要設置手機的網絡代理 + 抓包工具 去排查。

第二種：Provisional headers are shown

這種也是比較頭疼的，雖然網絡有很多文章講了排查之道，很多時候不太好使，這一回，也不生效。

今天，出場的嘉賓比較特別：Private Network Access 翻譯成中文，就是私有網絡請求，開始正文吧。

起因經過

看要點：

• 本地(個人電腦)開發
• 啟動一個web項目，頁面是http協議，類似 http://localhost:9093
• webview 打開 CDN(源站阿里OSS)的一個動頁面
• 活動頁面請求一個開啟了cors的局域網接口

類似：http://192.168.19.87:11606/como/flags

瀏覽器信息：chrome x64 95

獲取如下結果信息，并且爆出異常

網絡請求列表信息：

網絡請求詳情信息：

然后，我就一頓操作，最初懷疑 Referrer Policy 和這個所謂的 Provisional headers are shown, 經歷下面得操作。

修改h5活動refer策略

https://www.jianshu.com/p/26512475501a 

失敗告終

關閉 chrome://flags/#site-isolation-trial-opt-out 等等

CAUTION: provisional headers are shown" in Chrome debugger

失敗告終

其他嘗試

• 給本地web項目配置域名(修改localhost)失敗
• 用360瀏覽器打開web項目，網絡請求成功 成功
• 把請求copy as fetch，放到控制臺執行 成功
• 本地啟動一個網站模擬活動頁面，執行相同的網絡請求 成功

到這里，我就有點迷糊了，本地啟動一個頁面，調用相同的接口能成功?CDN上不能成功，難不成和CDN的策略有關系?

這就難辦了，內心另外一個聲音響起，應該還是和這個cors有關系, 受到CAUTION: provisional headers are shown" in Chrome debugger 啟發，應該還是和某個選項有關?

于是我打開 chrome://flags/ 面板，搜索 cors。

意外的收獲

發現一個選項， Block insecure private network requests, 第一句的意思是 防止非安全上下文向更私有的 IP 地址發出子資源請求, 哦，雖然還不太懂，感覺很有用的樣子。

辦他，重啟??

居然，好了，眼淚都要出來了，因為就這個事，放了好幾天，近來覺得

心里這個坎過不去!

心里這個坎過不去!

心里這個坎過不去!

一個不小心過去了，沒牽掛了，我要吃飯去了，別攔著我。

之前有提到，360瀏覽器并無此問題，那么chrome又是從哪個版本開始實現了這個特性。經過查詢google文獻，最終確認是 94，也就是低于此版本的瀏覽器不會受到影響。

發布于2021年8月的Private Network Access update: Introducing a deprecation trial

根本原因 Private Network Access(私有網絡請求)

先完全翻一下這個特性的描述:

防止非安全上下文向更私有的 IP 地址發出子資源請求。如果1) ip1是本地主機，而 ip2不是，或者2) ip1是私有的，而 ip2是公共的，那么 IP 地址 ip1比 ip2更私有。這是全面實施 cors-rfc1918的第一步: https://wicg.github.io/cors-rfc1918

頓悟， 防止向更私有的ip地址發出資源請求。

活動頁面在CDN，屬于公網

網絡請求http://192.168.19.87:11606/como/flags， 屬于局域網

公網向局域網請求，就是向私有的網絡請求， 所以被 ban 了。

打開特性說明中的鏈接， 跳轉到協議地址：https://wicg.github.io/private-network-access/

再補充一些知識 ，網絡大致上我們分為

• local (本機)
• private(私有網絡)
• public (公網)

私有程度 local > private > public

一圖勝千文：

當然，更多相關知識，請參見 Private Network Access

三個問題

被 Private Network Access 策略攔截導致的請求，有沒有發送到服務端

局域網向本地機器發送網絡請求，能不能成功

除了關閉chrome的Block insecure private network requests特性外，還有沒有別的方式解決此問題

小結

圖片這個協議，是2021年6月份起草的，不得不說chrome你是真的牛X。

這也就能解釋，為什么 360瀏覽器能網絡求情能夠成功。

 

私有網絡請求，確實從一定程度保護了安全。