通过网站隔离功能保护数据

适用于 Chrome 63 及更高版本

适用于受管理的 Chrome 浏览器和 Chrome 设备。

Chrome 管理员可以启用网站隔离功能来保护 Chrome 浏览器用户,这样即便这些用户访问了不受信任的网站,也能确保其数据安全。

网站隔离功能会将不同网站的页面隔离开来。启用网站隔离功能后,恶意网站将更加难以绕过用于防止数据遭窃的安全措施。详细了解网站隔离功能

您可以为用户访问的所有网站或为特定网站启用网站隔离功能。

第 1 步:查看政策

政策 说明和设置
SitePerProcess

启用此政策后 - 系统会在整个单位内为所有网站启用网站隔离功能。用户访问的所有网站都会在专门的呈现进程中运行,而且所有网站都是相互独立的。

停用此政策后 - 浏览器不会使用任何专门进程来呈现网站。

不设置此政策 - 用户可以选择是否启用网站隔离功能。

注意:为所有网站配置网站隔离功能可实现最高级别的安全防护,但也会导致使用 Chrome 浏览器的计算机内存占用率提高约 10%。

IsolateOrigins

启用此政策后 - 系统只会为用户访问的特定网站启用网站隔离功能。您指定的网站会在专门的呈现进程中运行。您可以添加用户登录的网站,以及其他包含敏感信息的网站(例如办公网站或内部网站)。

停用此政策后 - 浏览器不会使用任何专门进程来呈现网站。

不设置此政策 - 用户可以选择是否启用网站隔离功能。

第 2 步:创建要隔离的网站列表

在 Chrome 76 及更低版本中,您可以以完整形式指定各个源站,进而创建要隔离的所有源站的列表。如:
https://a.example.comhttps://b.example.comhttps://c.example.com.

在 Chrome 77 及更高版本中,您还可以使用通配符指定要隔离的源站范围。

例如,指定 https://[*.]example.com 隔离 https://a.example.comhttps://b.example.comhttps://c.example.com。此外,该通配符还会隔离 https://[*.]example.com 下的所有匹配源站,例如:

  • https://a1.example.com
  • https://a2.a1.example.com
  • https://a3.a2.a1.example.com

借助通配符,您可以轻松隔离整个范围内的所有源站。例如,指定 https://[*.]corp.solarmora.com 可确保能够隔离 Solarmora 公司的所有源站。

第 3 步:启用网站隔离功能

根据您希望采取的政策管理方式,点击下方的相应标题查看具体步骤。

管理控制台

适用于在 Chrome 浏览器或运行 Chrome 操作系统的设备上登录了受管理 Google 帐号的用户。

重要提示:请确保相应单位的受管理的 Chrome 浏览器处于启用状态

  1. 在管理控制台首页,转到设备 接着点击 Chrome 管理
  2. 点击设置 接着点击 用户和浏览器
  3. 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  4. 转到网站隔离部分。
  5. 要为所有网站启用网站隔离功能,请执行以下操作:
    1. 网站隔离部分,选择为所有网站启用网站隔离功能
    2. (可选)输入其他要添加的源站,并以英文逗号分隔,从而将这些源站与其各自对应的网站隔离开来。例如,输入 https://login.example.com 以将其与 https://example.com 下的其余网站隔离开来。
  6. 要为特定网站启用网站隔离功能,请执行以下操作:
    1. 网站隔离部分,选择为所有网站关闭网站隔离功能,下列网站例外
    2. 输入要隔离的网站和源站的列表,以英文逗号分隔。
  7. 点击保存
Windows
适用于在 Chrome 浏览器中登录受管理帐号的 Windows 用户。

使用组策略

在组策略编辑器中,转到计算机用户配置 然后 策略 然后 管理模板 然后 Google 然后 Google Chrome,然后设置下列两项政策。

为所有网站启用网站隔离功能

将此政策保留为“未配置”状态可让系统应用上述不设置此政策时的行为。

  1. 找到并启用为所有网站启用网站隔离功能
    提示:如果您未看到此政策,请下载最新政策模板

  2. 使用以下命令行 flag 在本地为所有网站测试网站隔离功能:
    - - site-per-process

  3. 为用户部署更新。

为特定网站启用网站隔离功能

     将此政策保留为“未配置”状态可让系统应用上述不设置此政策时的行为。

  1. 找到并启用为指定的来源启用网站隔离功能

    提示:如果您未看到此政策,请下载最新政策模板

  2. 输入要隔离的网址(用英文逗号分隔)。
    例如:https://example.com/,https://othersite.org/

  3. 使用以下命令行 flag 在本地为这些网站测试网站隔离功能: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. 为用户部署更新。
Mac
适用于在 Chrome 浏览器中登录了受管理帐号的 Mac 用户。

在 Chrome 配置文件中,添加或更新以下键,然后为用户部署更改。

<dict>
<key>SitePerProcess</key>
  <true/>
</dict>
<dict>
<key>IsolateOrigins</key>
  <string>”https://www.site1.com,https://www.site2.net”</string>
</dict>

Linux
适用于在 Chrome 浏览器中登录了受管理帐号的 Linux 用户。

使用您的首选 JSON 文件编辑器:

  1. 转到 etc/opt/chrome/policies/managed 文件夹。
  2. 创建或更新 JSON 文件,然后根据需要输入网址:
    • SitePerProcess - 将值设为“true”以启用政策。
    • IsolateOrigins - 添加您要隔离的网址。
  3. 使用以下命令行 flag 在本地为这些网站测试网站隔离功能: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. 为用户部署更新。

以下示例展示了如何启用 SitePerProcess 政策:

{
"SitePerProcess": "true"
}


以下示例展示了如何隔离 <网站 1>.com 和 <网站 2>.net: 
{
“IsolateOrigins”:”https://site1.com/,https://site2.net/”
}

第 4 步:验证网站隔离

要验证您是否已成功隔离网站,请按以下步骤操作:

  1. 转到包含跨站点子框架的网站:  
    1. 转到 http://csreis.github.io/tests/cross-site-iframe.html
    2. 点击 Go cross-site (complex page)(转到跨站点网站(复杂页面))。
    3. 主页面会显示在 http://csreis.github.io site 网站上,而子框架会显示在 https://chromium.org 网站上。
  2. 打开 Chrome 任务管理器(“Chrome 菜单”然后“更多工具”然后“任务管理器”)
  3. 验证主页面和子框架是否分别显示在与不同进程相关联的行中。例如:
    • 标签页:creis.github.io/tests/cross-site-iframe.html - 进程 ID = 1234
    • 子框架:https://chromium.org - 进程 ID = 5678

如果您在“任务管理器”中看到了子框架进程,则表示网站隔离功能已正常启用。如要隔离特定网站,您必须将 http://csreis.github.io 或 https://chromium.org 添加到源站列表中。

停用网站隔离功能

如要停用网站隔离功能,请停用您在上文中设置的政策。

您停用网站隔离政策后,Chrome 会使用启用网站隔离前的进程模型来呈现网站。不同的网站可能会相互共用进程,而跨网站框架可能会在与其上级网页相同的进程中呈现。如果停用一项政策,则上述两项政策的现场试验也会随之停用。

已知问题

  • 网页外观或输入事件(例如点击鼠标、触摸页面或用其他方式与页面互动)可能会出现一些小问题。
  • Chrome 的开发者工具 (DevTools) 可能不会完全支持性能面板或移动设备模拟中的跨网站 iFrame。
该内容对您有帮助吗?
您有什么改进建议?