Joe Medley
在几乎每个版本的 Chrome 中,我们都会对该产品及其性能以及 Web 平台的功能进行大量更新和改进。本文介绍了 Chrome 65 中废弃和移除的一些功能。Chrome 65 自 2 月 8 日起处于 Beta 版阶段。
Chrome 不再信任部分 Symantec 证书
正如之前所宣布的那样,Chrome 65 将不信任 2017 年 12 月 1 日之后通过 Symantec 旧版 PKI 颁发的证书,这将导致插页式广告。这只会影响明确选择不从 Symantec 的旧版 PKI 迁移到 DigiCert 的新 PKI 的网站运营商。
禁止跨源 <a download>
为避免本质上由用户中介的跨源信息泄露,Blink 现在会忽略具有跨源属性的锚元素上的 download 属性。请注意,这适用于 HTMLAnchorElement.download 以及元素本身。
移除意图 | Chromestatus 跟踪器 | Chromium bug
Document.all 无法再替换
长期以来,Web 开发者一直可以覆盖 document.all。根据当前标准,这种情况不应出现。从 65 版开始,Chrome 就符合该标准。
Chromestatus 跟踪器 | Chromium bug
<meta> 元素的 http-equiv 属性不再支持 set-cookie 值
目前,<meta http-equiv="set-cookie" ...> 可用于操控主机的现有 Cookie,或设置新 Cookie。这样一来,即使存在强大的内容安全政策,非脚本内容注入攻击也能升级为会话固定攻击。
从安全角度来看,最好要求访问 HTTP 标头(即 Set-Cookie)或脚本执行(即 document.cookie)。