Chrome 远程调试绑定地址失效：--remote-debugging-address=0.0.0.0 被静默忽略的真相与解决方案

问题描述

在自动化测试、爬虫开发或远程调试场景中，我们经常需要从其他机器连接 Chrome 的 DevTools
Protocol（CDP）。传统做法是这样启动 Chrome：

google-chrome \
  --remote-debugging-port=9222 \
  --remote-debugging-address=0.0.0.0 \
  --no-sandbox

然而在较新版本的 Chrome 中，这个命令不会报错，但 --remote-debugging-address 参数被静默忽略了
。实际检查端口绑定：

# Linux
ss -tlnp | grep 9222
# macOS
lsof -i :9222

输出始终是：

TCP 127.0.0.1:9222 (LISTEN)

而不是期望的 0.0.0.0:9222。

根因分析

Chromium 源码层面的强制覆盖

这不是 bug，而是 Chromium 团队从 M113/M114 版本开始引入的安全加固。

在 headless/lib/headless_browser_main_parts.cc 中，Chromium 硬编码了如下逻辑：

if (remote_debugging_address.IsIPv4AllZeros()) {
    remote_debugging_address = net::IPAddress::IPv4Localhost();
} else if (remote_debugging_address.IsIPv6AllZeros()) {
    remote_debugging_address = net::IPAddress::IPv6Localhost();
}

无论你传入 0.0.0.0 还是 ::，都会被强制替换为回环地址。参数本身没有被移除，所以不会报错——只是
被忽略了。

官方态度：WontFix

这个问题在 Chromium Bug Tracker 中有记录（[Issue 40242234](https://issues.chromium.org/issues
/40242234)，对应 Issue 1425667），状态为 WontFix。

Chromium 团队的理由很充分：CDP 协议的能力过于强大，连接者可以：

• 执行任意 JavaScript
• 读取所有 Cookie、LocalStorage
• 拦截和修改网络请求
• 截取页面内容
• 完全控制浏览器行为

将这样的接口暴露在 0.0.0.0 上，等同于开放了一个无认证的远程代码执行后门。这个安全决策不会被撤回。

解决方案

方案一：SSH 端口转发（最简单、最安全）

适用场景：个人开发、临时调试

# 远程机器上正常启动 Chrome
google-chrome --remote-debugging-port=9222

# 本地机器通过 SSH 隧道连接
ssh -L 9222:127.0.0.1:9222 user@remote-host

之后在本地访问 http://localhost:9222 即可。通信全程加密，利用 SSH 已有的认证机制。

方案二：socat 端口转发（适合 Docker / 内网环境）

适用场景：Docker 容器、CI/CD 流水线、内网自动化

核心思路：让 Chrome 绑定在内部端口，用 socat 将外部流量转发过去。

# 启动 Chrome，使用内部端口 9223
google-chrome --remote-debugging-port=9223 --no-sandbox

# socat 将 0.0.0.0:9222 转发到 127.0.0.1:9223
socat TCP-LISTEN:9222,fork,reuseaddr TCP:127.0.0.1:9223

Docker 环境下的完整示例：

FROM debian:trixie-slim

RUN apt-get update && apt-get install -y --no-install-recommends \
    chromium socat supervisor \
    && rm -rf /var/lib/apt/lists/*

COPY supervisord.conf /etc/supervisor/conf.d/supervisord.conf
CMD ["/usr/bin/supervisord"]

; supervisord.conf
[supervisord]
nodaemon=true

[program:chromium]
command=chromium --remote-debugging-port=9223 --remote-allow-origins=* --no-sandbox --disable-gpu about:blank
autorestart=true

[program:socat]
command=socat TCP-LISTEN:9222,fork,reuseaddr TCP:127.0.0.1:9223
autorestart=true

docker run -d -p 9222:9222 your-image

验证：

curl -s http://localhost:9222/json | head -5

如果返回 JSON 数据，说明连接成功。

注意：这种方式绕过了 Chrome 的安全限制，务必配合网络隔离或防火墙：

# 仅允许特定 IP
iptables -A INPUT -p tcp --dport 9222 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 9222 -j DROP

方案三：Nginx 反向代理 + 认证（适合团队共享）

适用场景：多人共享的调试环境、长期运行的服务

server {
    listen 9222 ssl;

    ssl_certificate     /etc/nginx/cert.pem;
    ssl_certificate_key /etc/nginx/key.pem;

    auth_basic "CDP Access";
    auth_basic_user_file /etc/nginx/.htpasswd;

    location / {
        proxy_pass http://127.0.0.1:9223;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

CDP 使用 WebSocket 通信，proxy_set_header Upgrade 和 Connection "upgrade" 是必须的。

方案对比

总结

• --remote-debugging-address=0.0.0.0 从 Chrome M113/M114 起被源码强制覆盖为 127.0.0.1
• 这是 Chromium 团队有意为之的安全加固，状态为 WontFix，未来不会恢复
• 大多数场景下 SSH 转发就够了；Docker/CI 场景用 socat；团队环境用 Nginx + 认证
• 无论哪种方案，都不要在不受信任的网络中无防护地暴露 CDP 端口

参考

• Chromium Issue 40242234
• How to Expose Chromium's Remote Debugging Port from Docker - ytyng.com