Joe Medley
在幾乎所有版本的 Chrome 中,我們都看到產品、效能和網路平台功能的更新和改善幅度相當顯著。本文將說明 Chrome 65 中淘汰和移除的部分功能,該版本自 2 月 8 日起為 Beta 版。
Chrome 不再信任特定 Symantec 憑證
如先前所宣布,Chrome 65 將不信任 2017 年 12 月 1 日之後由 Symantec 舊版 PKI 核發的憑證,並會顯示全螢幕廣告。這項變更只會影響明確選擇不從 Symantec 舊版 PKI 改用 DigiCert 新版 PKI 的網站經營者。
禁止跨原始來源 <a download>
為避免使用者經由中介跨來源資訊外洩,Blink 現會忽略錨點元素上是否有下載屬性,並具有跨來源屬性。請注意,這項限制適用於 HTMLAnchorElement.download 和元素本身。
Intent to Remove | Chromestatus Tracker | Chromium Bug
Document.all 無法再替換
長久以來,網頁程式開發人員可以覆寫 document.all。根據目前的標準,這不應該是這樣。自 65 版起,Chrome 便遵循標準。
Chromestatus Tracker | Chromium Bug
系統已停止支援 <meta> 元素的 http-equiv 屬性 set-cookie 值
目前,<meta http-equiv="set-cookie" ...> 可用於操作主機的現有 Cookie,或設定新的 Cookie。這可讓非指令碼內容注入升級為工作階段固定攻擊,即使有強大的內容安全性政策也一樣。
從安全性角度來看,建議您要求存取 HTTP 標頭 (也就是 Set-Cookie) 或指令碼執行 (也就是 document.cookie)。