『控件』Chrome 83 beta 发布,谷歌与微软一起改进表单控件
北京联盟_原题是:Chrome 83 beta 发布 , 谷歌与微软一起改进表单控件
转自:开源中国
Google 发布了最新的 Chrome 83 beta 版本 , 适用于 Android、Chrome OS、Linux、macOS 和 Windows 。该版本修复了基于 DOM 的跨站点脚本(DOM XSS)漏洞 , 这是最常见的 Web 安全漏洞之一 。
可信类型(Trusted types)
可信类型(Trusted types)是一项新技术 , 可帮助编写和维护易受 DOM XSS 漏洞攻击的应用程序 。它通过保护存在泄露危险的 API 来做到这一点 。
像 Element.innerHTML这样的属性就可能会使网站受到有害的 HTML 操纵 。如果使用此属性 , 可信类型将导致脚本抛出错误 。设置一个新的内容安全策略即可 , 例如:Content-Security-Policy: require-trusted-types- for'';report-uri //my-csp-endpoint.example
改进表单控件
HTML 表单控件为大多数 Web 交互提供了基础 。它们易于开发人员使用 , 具有内置的可访问性 。但表单控件的样式完全不一致 。最早的窗体控件与所使用的操作系统匹配 , 后来的控件则遵循了创建它们时流行的设计风格 。这种变化迫使开发人员花费更多的时间并交付额外的代码 。
在过去的一年中 , Chrome 和 Edge 进行了合作 , 以改善 HTML 表单控件的外观和功能 。这项工作包括使控件和其他交互元素的集中状态更容易感知 。下图显示了 Chrome 中某些控件的新旧版本对比 。
旧版本:
文章图片
文章图片
新版本:
文章图片
文章图片
新的表单控件已经在 Microsoft Edge 中提供 , 现也可以在 Chrome 83 中使用 。
新的跨域政策
一些 Web API 会增加诸如 Spectre 之类的旁道攻击的风险 。为了减轻这种风险 , Chrome 提供了一个基于选择加入的隔离环境 , 称为跨域隔离 。这是通过两个新的 HTTP 标头完成的:Cross-Origin-Embedder-Policy
和 Cross-Origin-Opener-Policy 。使用这些标头 , 网页可以安全地使用特权功能 , 包括:Performance.measureMemoryJS Self-Profiling API
跨域隔离状态还可以防止对document.domain进行修改 。
更多见 Chromium 博客:
【『控件』Chrome 83 beta 发布,谷歌与微软一起改进表单控件】https://blog.chromium.org/2020/04/chrome-83-beta-cross-site-ing.html
推荐阅读
- cnBeta|麻省理工学院科学家们改进了软机械手的感知能力
- cnBeta|惠普今天发布多款笔记本电脑和一些外设产品
- 推送|已经有用户的Pixel设备收到Android 11 Beta更新
- cnBeta|专利文件暗示华为正在开发屏下隐藏式前摄智能机
- cnBetaTB|看机器人如何制作出既有颜值又美味的蛋饼
- cnBeta|开启Autopilot的Model 3直接撞上侧翻卡车 碰撞前无刹车
- cnBeta.COM|研究人员打造出一种能与锂离子电池相媲美的钠离子电池
- cnBetaTB|因审核策略遭受指责后TikTok承诺推广黑人创作者的视频
- cnBeta|微软回应AppGet创造者剽窃说:肯定其对Windows软件包管理器的贡献
- cnBetaTB|俄罗斯Elbrus 8CB处理器曝光 采用台积电28nm 8核VLIW设计