Google Chrome 83 Beta 發布:與Edge 合作改進的表單控件
Google 發布了最新的Chrome 83 beta 版本,適用於Android、Chrome OS、Linux、macOS 和Windows。該版本修復了基於DOM 的跨站點腳本(DOM XSS)漏洞,這是最常見的Web 安全漏洞之一。
可信類型(Trusted types)
可信類型(Trusted types)是一項新技術,可幫助編寫和維護易受DOM XSS 漏洞攻擊的應用程序。它通過保護存在洩露危險的API 來做到這一點。
像 Element.innerHTML
這樣的屬性就可能會使網站受到有害的HTML操縱。如果使用此屬性,可信類型將導致腳本拋出錯誤。設置一個新的內容安全策略即可,例如:
Content-Security-Policy: require-trusted-types-for 'script';report-uri //my-csp-endpoint.example
詳情可參考 Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types
改進表單控件
HTML 表單控件為大多數Web 交互提供了基礎。它們易於開發人員使用,具有內置的可訪問性。但表單控件的樣式完全不一致。最早的窗體控件與所使用的操作系統匹配,後來的控件則遵循了創建它們時流行的設計風格。這種變化迫使開發人員花費更多的時間並交付額外的代碼。
在過去的一年中,Chrome 和Edge 進行了合作,以改善HTML 表單控件的外觀和功能。這項工作包括使控件和其他交互元素的集中狀態更容易感知。下圖顯示了Chrome 中某些控件的新舊版本對比。
舊版本:
新版本:
新的表單控件已經在Microsoft Edge 中提供,現也可以在Chrome 83 中使用。
新的跨域政策
一些Web API 會增加諸如Spectre 之類的旁道攻擊的風險。為了減輕這種風險,Chrome 提供了一個基於選擇加入的隔離環境,稱為跨域隔離。這是通過兩個新的HTTP 標頭完成的: Cross-Origin-Embedder-Policy
和 Cross-Origin-Opener-Policy
。使用這些標頭,網頁可以安全地使用特權功能,包括:
Performance.measureMemory()
- JS Self-Profiling API
跨域隔離狀態還可以防止對document.domain
進行修改。
更多更新詳情見Chromium 博客: