Устаревшие и удаленные API в Chrome 55

Джо Медли
Joe Medley
GitHub

Почти в каждой версии Chrome мы видим значительное количество обновлений и улучшений продукта, его производительности, а также возможностей веб-платформы. В этой статье описаны устаревания и удаления в Chrome 55, который находится в стадии бета-тестирования по состоянию на 21 октября. Этот список может быть изменен в любое время.

Ресурсы с типами MIME, не являющимися скриптами, больше не могут выполняться.

Предыдущие версии Chrome позволяли выполнять контент с несколькими типами MIME, не являющимися скриптами, как скрипт. Помимо очевидной уязвимости безопасности, эта проблема также снижает ценность настроек политики безопасности контента, таких как script-src 'self' .

Например, сайт может заблокировать JavaScript того же источника, но при этом разрешить пользователям загружать изображения, полученные из этого источника. Злоумышленники могут загрузить JavaScript, встроенный в специально созданный файл изображения, и этот JavaScript потенциально может быть передан из этого источника и выполнен. Начиная с Chrome 55, больше не будет выполняться контент, загруженный со следующими типами MIME:

  • audio/*
  • image/*
  • video/*
  • text/csv

Намерение удалить | Трекер Chromestatus | Ошибка хрома

Удалить SVGSVGElement.viewPort

Реализация SVGSVGElement.viewPort не работает в Chrome с 2012 года. Атрибут вообще отсутствует в других браузерах и удален из спецификации. По этим причинам это свойство устарело в Chrome 54 и теперь удалено.

Намерение удалить | Трекер Chromestatus | Ошибка хрома

,

Джо Медли
Joe Medley
GitHub

Почти в каждой версии Chrome мы видим значительное количество обновлений и улучшений продукта, его производительности, а также возможностей веб-платформы. В этой статье описаны устаревания и удаления в Chrome 55, который находится в стадии бета-тестирования по состоянию на 21 октября. Этот список может быть изменен в любое время.

Ресурсы с типами MIME, не являющимися скриптами, больше не могут выполняться.

Предыдущие версии Chrome позволяли выполнять контент с несколькими типами MIME, не являющимися скриптами, как скрипт. Помимо очевидной уязвимости безопасности, эта проблема также снижает ценность настроек политики безопасности контента, таких как script-src 'self' .

Например, сайт может заблокировать JavaScript того же источника, но при этом разрешить пользователям загружать изображения, полученные из этого источника. Злоумышленники могут загрузить JavaScript, встроенный в специально созданный файл изображения, и этот JavaScript потенциально может быть передан из этого источника и выполнен. Начиная с Chrome 55, больше не будет выполняться контент, загруженный со следующими типами MIME:

  • audio/*
  • image/*
  • video/*
  • text/csv

Намерение удалить | Трекер Chromestatus | Ошибка хрома

Удалить SVGSVGElement.viewPort

Реализация SVGSVGElement.viewPort не работает в Chrome с 2012 года. Атрибут вообще отсутствует в других браузерах и удален из спецификации. По этим причинам это свойство устарело в Chrome 54 и теперь удалено.

Намерение удалить | Трекер Chromestatus | Ошибка хрома