Google 发布了最新的 Chrome 83 beta 版本,适用于 Android、Chrome OS、Linux、macOS 和 Windows。 可信类型(Trusted types)基于 DOM 的跨站点脚本(DOM XSS)是最常见的 Web 安全漏洞之一。可信类型(Trusted types)是一项新技术,可帮助编写和维护易受 DOM XSS 漏洞攻击的应用程序。它通过保护存在泄露危险的 API 来做到这一点。 像 Content-Security-Policy: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example 详情可参考 Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types 改进表单控件HTML 表单控件为大多数 Web 交互提供了基础。它们易于开发人员使用,具有内置的可访问性。但表单控件的样式完全不一致。最早的窗体控件与所使用的操作系统匹配,后来的控件则遵循了创建它们时流行的设计风格。这种变化迫使开发人员花费更多的时间并交付额外的代码。 在过去的一年中,Chrome 和 Edge 进行了合作,以改善 HTML 表单控件的外观和功能。这项工作包括使控件和其他交互元素的集中状态更容易感知。下图显示了 Chrome 中某些控件的新旧版本对比。 旧版本:
新版本:
新的表单控件已经在 Microsoft Edge 中提供,现也可以在 Chrome 83 中使用。 新的跨域政策一些 Web API 会增加诸如 Spectre 之类的旁道攻击的风险。为了减轻这种风险,Chrome 提供了一个基于选择加入的隔离环境,称为跨域隔离。这是通过两个新的 HTTP 标头完成的:
跨域隔离状态还可以防止对 更多更新详情见 Chromium 博客: https://blog.chromium.org/2020/04/chrome-83-beta-cross-site-scripting.html |
