在几乎每个版本的 Chrome 中,我们都看到了针对产品及其性能以及网络平台功能的大量更新和改进。本文介绍了自 2 月 8 日起 Chrome 65 Beta 版中的一些弃用和移除的内容。
Chrome 不再信任某些 Symantec 证书
正如之前宣布的,Chrome 65 不会信任 Symantec 的旧版公钥基础设施 (PKI) 在 2017 年 12 月 1 日之后颁发的证书,并且会导致展示插页式广告。这只会影响明确选择不从 Symantec 的旧版公钥基础设施 (PKI) 过渡到 DigiCert 的新公钥基础设施 (PKI) 的网站运营者。
禁止跨域 <a 下载>
为了避免本质上属于用户中介的跨源信息泄露,Blink 现在会忽略具有跨源属性的锚点元素上存在的 download 属性。请注意,这适用于 HTMLAnchorElement.download 以及元素本身。
意图移除 | Chromestatus Tracker | Chromium 错误
Document.all 无法再替换
很长一段时间以来,Web 开发者可能会覆盖 document.all
。根据现行标准,不应如此。从版本 65 开始,Chrome 已符合该标准。
Chromestatus Tracker | Chromium 错误
<meta> 元素的 http-equiv 属性不再支持 set-cookie 值
目前,<meta http-equiv="set-cookie" ...>
可用于操控主机的现有 Cookie 或设置新 Cookie。这样一来,即使存在严格的内容安全政策,非脚本内容注入也会自行升级为会话固定攻击。
从安全角度来看,最好是要求访问 HTTP 标头(即 Set-Cookie
)或要求执行脚本(即 document.cookie
)。