Chrome のほぼすべてのバージョンで、プロダクト、パフォーマンス、ウェブ プラットフォームの機能に関して、多数の更新と改善が行われています。この記事では、Chrome 65(2 月 8 日時点でベータ版)での非推奨と削除の一部について説明します。
Chrome が特定の Symantec の証明書を信頼しなくなる
以前にお知らせしたとおり、Chrome 65 は 2017 年 12 月 1 日以降に Symantec の Legacy PKI から発行された証明書を信頼せず、インタースティシャルが表示されます。これは、Symantec の Legacy PKI から DigiCert の新しい PKI への移行を明示的に無効にしたサイト事業者にのみ影響します。
クロスオリジンをブロックする <a download>
本質的にユーザー主導のクロスオリジン情報漏洩を回避するために、Blink はクロスオリジン属性を持つアンカー要素のダウンロード属性の存在を無視するようになります。なお、これは HTMLAnchorElement.download と要素自体に適用されます。
削除の目的 | Chromestatus Tracker | Chromium のバグ
Document.all は置き換えられなくなった
長い間、ウェブ デベロッパーが document.all
を上書きすることは可能でした。現行の基準では、これは誤りではありません。
バージョン 65 以降、Chrome はこの標準に準拠しています。
Chromestatus トラッカー | Chromium のバグ
<meta> 要素の http-equiv 属性で set-cookie 値がサポートされなくなりました
現在、<meta http-equiv="set-cookie" ...>
を使用すると、ホストの既存の Cookie を操作するか、新しい Cookie を設定できます。これにより、強力なコンテンツ セキュリティ ポリシーが存在している場合でも、スクリプト以外のコンテンツ インジェクションをセッション修正攻撃にアップグレードできます。
セキュリティの観点からは、HTTP ヘッダーへのアクセス(Set-Cookie
)またはスクリプト実行(document.cookie
)のいずれかを要求する方が適しています。