Chrome 83 Beta 发布:与 Edge 合作改进的表单控件
Google 发布了最新的 Chrome 83 beta 版本,适用于 Android、Chrome OS、Linux、macOS 和 Windows。
可信类型(Trusted types)
基于 DOM 的跨站点脚本(DOM XSS)是最常见的 Web 安全漏洞之一。可信类型(Trusted types)是一项新技术,可帮助编写和维护易受 DOM XSS 漏洞攻击的应用程序。它通过保护存在泄露危险的 API 来做到这一点。
像 Element.innerHTML
这样的属性就可能会使网站受到有害的 HTML 操纵。如果使用此属性,可信类型将导致脚本抛出错误。设置一个新的内容安全策略即可,例如:
Content-Security-Policy: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example
详情可参考 Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types
改进表单控件
HTML 表单控件为大多数 Web 交互提供了基础。它们易于开发人员使用,具有内置的可访问性。但表单控件的样式完全不一致。最早的窗体控件与所使用的操作系统匹配,后来的控件则遵循了创建它们时流行的设计风格。这种变化迫使开发人员花费更多的时间并交付额外的代码。
在过去的一年中,Chrome 和 Edge 进行了合作,以改善 HTML 表单控件的外观和功能。这项工作包括使控件和其他交互元素的集中状态更容易感知。下图显示了 Chrome 中某些控件的新旧版本对比。
旧版本:
新版本:
新的表单控件已经在 Microsoft Edge 中提供,现也可以在 Chrome 83 中使用。
新的跨域政策
一些 Web API 会增加诸如 Spectre 之类的旁道攻击的风险。为了减轻这种风险,Chrome 提供了一个基于选择加入的隔离环境,称为跨域隔离。这是通过两个新的 HTTP 标头完成的: Cross-Origin-Embedder-Policy
和 Cross-Origin-Opener-Policy
。使用这些标头,网页可以安全地使用特权功能,包括:
Performance.measureMemory()
- JS Self-Profiling API
跨域隔离状态还可以防止对document.domain
进行修改。
更多更新详情见 Chromium 博客:
https://blog.chromium.org/2020/04/chrome-83-beta-cross-site-scripting.html
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
TiDB 3.1.0 发布,分布式 NewSQL 数据库
TiDB 3.1.0现已发布,该版本更新内容如下: 兼容性变化 TiDB 支持 TiDB 在启动服务时,在开启report-status配置项情况下,如果发现 HTTP 监听端口不可用,则直接退出启动#16291 Tools Backup & Restore (BR) BR 不支持在 3.1 GA 版本之前的 TiKV 集群上进行恢复#233 新功能 TiDB 支持在explain format = "dot"中展示 coprocessor 任务的信息#16125 通过disable-error-stack配置项减少日志的冗余 stack 信息#16182 Placement Driver (PD) 优化热点 Region 调度#2342 TiFlash 添加上报 DeltaTree 引擎读写负载相关 metrics 信息 支持fromUnixTime和dateFormat函数下推 默认禁用粗粒度索引过滤器 TiDB Ansible 新增 TiFlash 监控#1253#1257 优化 TiFlash 配置参数#1262#1265#1271 优化 TiDB 启动脚本#1268 ...
- 下一篇
Spring Cloud 2020.0.0-M1 发布
Spring Cloud 发布了 2020.0.0 的第一个里程碑版本。现已可在Spring Milestone中获取。 Spring Cloud 团队表示已经更改了发行的版本控制方案,接下来将遵循YYYY.MINOR.MICRO模式,其中MINOR是一个递增数字,每年从 0 开始。MINOR段对应先前使用的后缀:.0类似.RELEASE,而.2类似于.SR2。预发行后缀也将从使用.作为分隔符改为使用-,例如2020.0.0-M1和2020.0.0-RC2。另外,还将停止为快照添加前缀BUILD-,例如2020.0.0-SNAPSHOT。 发行代号将继续使用伦敦地铁站名称,当前的代号是 Ilford。 Spring Cloud AWS 和 Spring Cloud GCP 将不再是发行计划中的一部分。不过它们还将继续是 Hoxton 的一部分(在其还受支持的时间内),至少到 2021 年 6 月。Spring Cloud GCP 将作为单独的项目继续进行。 此版本总共包含 183 项 issues、增强功能和 bug 修复等。 详情见发布公告:https://spring.io/blo...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS关闭SELinux安全模块
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Red5直播服务器,属于Java语言的直播服务器