Joe Medley
在絕大多數的 Chrome 版本中,我們都發現大量的更新和改善項目,包含產品、效能和網路平台的功能。本文說明 Chrome 65 的淘汰及移除項目,這是截至 2 月 8 日的 Beta 版。
Chrome 不再信任特定 Symantec 憑證
如先前宣布,在 2017 年 12 月 1 日之後,Chrome 65 將不再信任 Symantec 舊版 PKI 核發的憑證,因此會導致插頁式廣告。這只會影響到已明確選擇不將 Symantec 舊版 PKI 轉換至 DigiCert 新 PKI 的網站營運人員。
封鎖跨來源 <a 下載>
為了避免基本上,造成使用者中介的跨來源資訊外洩,Blink 現在會忽略具有跨來源屬性的錨點元素出現下載屬性。請注意,這也適用於 HTMLAnchorElement.download 和元素本身。
意圖移除 | Chrome 狀態追蹤工具 | Chromium 錯誤
Document.all 已無法更換
長期以來,網頁開發人員可以覆寫 document.all。根據目前的標準,這應該不會是如此。
從第 65 版開始,Chrome 符合標準。
<meta> 元素的 http-equiv 屬性不再支援 set-cookie 值
目前,<meta http-equiv="set-cookie" ...> 可用來操控主機現有的 Cookie,或是設定新的 Cookie。如此一來,非指令碼內容插入機制就能自行升級成工作階段修正攻擊,即使存在高強度的內容安全政策也是如此。
從安全性的角度出發,最好還是要求存取 HTTP 標頭 (也就是 Set-Cookie) 或指令碼執行 (也就是 document.cookie)。