Joe Medley
弃用基于 HTTP 的公钥固定
基于 HTTP 的公钥固定 (HPKP) 旨在允许网站发送 HTTP 标头,以固定网站证书链中的一个或多个公钥。采用率非常低,虽然它可防范证书错误签发,但也带来了拒绝服务和恶意固定的风险。
为防范证书错误签发,网站开发者应使用 Expect-CT 标头,包括其报告功能。Expect-CT 比 HPKP 更安全,因为它让网站运营者可以灵活地从配置错误中恢复,并且许多证书授权机构都提供内置支持。
我们预计会在 Chrome 69 中移除此功能。
移除意图 | ChromeStatus | Chromium bug
废弃了不安全情境中的 AppCache
基于 HTTP 的 AppCache 已废弃。AppCache 是一项强大的功能,可让您离线访问某个源并对其进行永久访问。允许在非安全上下文中使用 AppCache 会使其成为跨站脚本攻击的攻击途径。
预计会在 Chrome 69 中移除。
移除意图 | ChromeStatus | Chromium bug
布局
此版本中将移除多个带有 -webkit- 前缀的 CSS 属性:
-webkit-box-flex-group:根据稳定版中的 UseCounter,此属性的使用率几乎为零。-webkit-line-clamp的百分比 (%) 值:用户希望找到基于标准的数字值用例解决方案,但我们尚未发现对基于百分比的值的需求。-webkit-box-lines:此属性从未完全实现。最初的设计是,一个“垂直”/“水平”-webkit-box可以有多个行/列。
移除意图 | ChromeStatus | Chromium bug
废弃政策
为了确保平台的正常运行,我们有时会从网站平台中移除已完成生命周期的 API。我们移除 API 的原因有很多,例如:
- 它们已被较新的 API 取代。
- 这些文档会更新以反映规范的更改,以便与其他浏览器保持一致。
- 这些功能是早期实验,在其他浏览器中从未实现,因此可能会增加 Web 开发者的支持负担。
其中一些更改将对极少数网站产生影响。为了提前缓解问题,我们会尽量提前通知开发者,以便他们进行必要的更改来确保其网站正常运行。
Chrome 目前 有 API 废弃和移除流程,具体如下:
- 在 blink-dev 邮寄名单中发布公告。
- 在 Chrome 开发者工具控制台中设置警告,并在网页上检测到使用情况时提供时间尺度。
- 等待一段时间,进行监控,然后在使用量下降时移除该功能。
您可以使用 已废弃的过滤条件 在 chromestatus.com 上查找所有已废弃的功能,也可以应用已移除的过滤条件查找已移除的功能。我们还会尝试在这些帖子中总结一些变更、原因和迁移路径。