Google 發佈了最新的 Chrome 83 beta 版本,適用於 Android、Chrome OS、Linux、macOS 和 Windows。
可信類型(Trusted types)
基於 DOM 的跨站點腳本(DOM XSS)是最常見的 Web 安全漏洞之一。可信類型(Trusted types)是一項新技術,可幫助編寫和維護易受 DOM XSS 漏洞攻擊的應用程序。它通過保護存在洩露危險的 API 來做到這一點。
像 Element.innerHTML 這樣的屬性就可能會使網站受到有害的 HTML 操縱。如果使用此屬性,可信類型將導致腳本拋出錯誤。設置一個新的內容安全策略即可,例如:
<code>Content
-Security-Policy: require-trusted-types-for'script'
; report-uri /<code>
詳情可參考 Prevent DOM-based cross-site>
改進表單控件
HTML 表單控件為大多數 Web 交互提供了基礎。它們易於開發人員使用,具有內置的可訪問性。但表單控件的樣式完全不一致。最早的窗體控件與所使用的操作系統匹配,後來的控件則遵循了創建它們時流行的設計風格。這種變化迫使開發人員花費更多的時間並交付額外的代碼。
在過去的一年中,Chrome 和 Edge 進行了合作,以改善 HTML 表單控件的外觀和功能。這項工作包括使控件和其他交互元素的集中狀態更容易感知。下圖顯示了 Chrome 中某些控件的新舊版本對比。
舊版本:
新版本:
新的表單控件已經在 Microsoft Edge 中提供,現也可以在 Chrome 83 中使用。
新的跨域政策
一些 Web API 會增加諸如 Spectre 之類的旁道攻擊的風險。為了減輕這種風險,Chrome 提供了一個基於選擇加入的隔離環境,稱為跨域隔離。這是通過兩個新的 HTTP 標頭完成的: Cross-Origin-Embedder-Policy和 Cross-Origin-Opener-Policy。使用這些標頭,網頁可以安全地使用特權功能,包括:
- Performance.measureMemory()
- JS Self-Profiling API
跨域隔離狀態還可以防止對document.domain進行修改。
