Chrome 83 Beta 发布:与 Edge 合作改进的表单控件

栏目: 软件资讯 · 发布时间: 4年前

内容简介:Google 发布了最新的 Chrome 83 beta 版本,适用于 Android、Chrome OS、Linux、macOS 和 Windows。 可信类型(Trusted types) 基于 DOM 的跨站点脚本(DOM XSS)是最常见的 Web 安全漏洞之一。可信类型(Trust...

Google 发布了最新的 Chrome 83 beta 版本,适用于 Android、Chrome OS、 Linux 、macOS 和 Windows。

可信类型(Trusted types)

基于 DOM 的跨站点脚本(DOM XSS)是最常见的 Web 安全漏洞之一。可信类型(Trusted types)是一项新技术,可帮助编写和维护易受 DOM XSS 漏洞攻击的应用程序。它通过保护存在泄露危险的 API 来做到这一点。

像 Element.innerHTML 这样的属性就可能会使网站受到有害的 HTML 操纵。如果使用此属性,可信类型将导致脚本抛出错误。设置一个新的内容安全策略即可,例如:

Content-Security-Policy: require-trusted-types-for 'script';
report-uri //my-csp-endpoint.example

详情可参考 Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types

改进表单控件

HTML 表单控件为大多数 Web 交互提供了基础。它们易于开发人员使用,具有内置的可访问性。但表单控件的样式完全不一致。最早的窗体控件与所使用的操作系统匹配,后来的控件则遵循了创建它们时流行的设计风格。这种变化迫使开发人员花费更多的时间并交付额外的代码。

在过去的一年中,Chrome 和 Edge 进行了合作,以改善 HTML 表单控件的外观和功能。这项工作包括使控件和其他交互元素的集中状态更容易感知。下图显示了 Chrome 中某些控件的新旧版本对比。

旧版本:

Chrome 83 Beta 发布:与 Edge 合作改进的表单控件

新版本:

Chrome 83 Beta 发布:与 Edge 合作改进的表单控件

新的表单控件已经在 Microsoft Edge 中提供,现也可以在 Chrome 83 中使用。

新的跨域政策

一些 Web API 会增加诸如 Spectre 之类的旁道攻击的风险。为了减轻这种风险,Chrome 提供了一个基于选择加入的隔离环境,称为跨域隔离。这是通过两个新的 HTTP 标头完成的: Cross-Origin-Embedder-Policy
和 Cross-Origin-Opener-Policy。使用这些标头,网页可以安全地使用特权功能,包括:

  • Performance.measureMemory()
  • JS Self-Profiling API

跨域隔离状态还可以防止对document.domain进行修改。

更多更新详情见 Chromium 博客:

https://blog.chromium.org/2020/04/chrome-83-beta-cross-site-scripting.html


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

洞察人心

洞察人心

Steve Portigal / 张振东、蒋晓、戴传庆、孙启玉 / 电子工业出版社 / 2015-10 / 65.00元

用户在哪里,有什么需求?他们为什么会选用竞争对手的产品而不是你的?从大数据中固然能得出一些结论,但是要搞清楚作为地球上顶级复杂生物的人的真实想法,还是走近他们,面对面访谈更直接有效。 用户访谈是一项技能,与一般的交谈有本质上的区别,需要遵从一定的步骤和方法。优秀的采访者用最自然的方式和用户进行交流,看似不经意,而实际上该说什么、何时说、如何说以及什么时候应该沉默,都有精准的权衡,都试图在闲聊......一起来看看 《洞察人心》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具