谷歌 网络浏览器版本 ... 同时 免费项目的稳定发布 ,这是Chrome的基础。 Chrome浏览器 使用 Google 徽标、在崩溃时发送通知的系统、根据请求下载 Flash 模块的能力、播放受保护视频内容 (DRM) 的模块、在搜索期间自动安装更新和传输的系统 。 Chrome 77 的下一个版本计划于 10 月 XNUMX 日发布。
:
- 默认情况下,针对第三方 Cookie 传输的保护模式,在 Set-Cookie 标头中没有 SameSite 属性的情况下,默认设置值“SameSite=Lax”,限制从以下位置插入的 Cookie 的发送:第三方网站(但网站仍然可以通过在设置 Cookie 值 SameSite=None 时显式设置来覆盖限制)。 到目前为止,即使最初打开了另一个站点,浏览器也会向设置了 Cookie 的站点的任何请求发送 Cookie,并且该请求是通过加载图像或通过 iframe 间接发出的。 在“Lax”模式下,仅针对跨站点子请求(例如图像请求或 iframe 内容加载)阻止 Cookie 传输,这些请求通常用于发起 CSRF 攻击并跟踪站点之间的用户移动。
- 默认情况下停止播放 Flash 内容。 直到 Chrome 87 发布(预计 2020 年 2020 月),可以在设置(高级 > 隐私和安全 > 站点设置)中返回 Flash 支持,随后明确确认每个站点播放 Flash 内容的操作(确认为直到浏览器重新启动时才会记住)。 彻底删除支持 Flash 的代码与 Adobe 此前宣布的将于 XNUMX 年终止对 Flash 技术支持的计划同步;
- 对于企业来说,在地址栏中添加了搜索 Google Drive 存储中的文件的功能;
- 开始 Chrome 中的不当广告会干扰内容感知,且不符合更好广告联盟制定的标准;
- 实现了切换到新页面的自适应模式,其中当前内容被清除并且白色背景不是立即显示,而是在短暂的延迟后显示。 对于快速加载的页面,抓取只会导致闪烁,并且不会提供通知用户新页面即将加载的有效负载。 在新版本中,如果页面打开速度很快且有轻微延迟,则新页面会就地显示,无缝替换前一个页面(例如,在切换到同一网站的其他设计相似的页面时方便)和配色方案)。 如果用户注意到需要一段时间才能显示该页面,则像以前一样,屏幕将被预清除;
- 确定页面上用户活动的标准已经收紧。 Chrome 允许您仅在用户在页面上执行操作后显示弹出通知并播放烦人的视频/音频内容。 在新版本中,按 Esc 键、将鼠标悬停在链接上以及触摸屏幕不再被视为页面激活交互(需要明确的单击、键入或滚动);
- 媒体查询“prefers-color-scheme”,它允许网站确定浏览器是否使用深色主题,并自动为正在查看的网站启用深色主题。
- 当您在 Linux 版本中启用深色主题时,地址栏现在以深色显示;
- 通过操作 FileSystem API 来确定以隐身模式打开页面的能力,以前一些出版物使用该 API 来强制付费订阅,以防在不记住 Cookie 的情况下非个人打开页面(这样用户就不会使用私密模式绕过提供免费试用访问的机制)。 以前,在隐身模式下工作时,浏览器会阻止对 FileSystem API 的访问,以防止数据在会话之间下垂,这使得 JavaScript 可以检查通过 FileSystem API 保存数据的能力,并在失败的情况下判断隐身模式。 现在对FileSystem API的访问不会被阻止,会话结束后内容会被清除;
- 新的挑战
API 付款请求和付款处理程序。 PaymentRequestEvent 对象中出现了新的方法changePaymentMethod(),并且PaymentRequest 对象中添加了新的事件处理程序 paymentmethodchange,它允许付款收集网站或Web 应用程序响应用户更改付款方式。 新版本还使支付 API 可以更轻松地使用自签名证书测试应用程序。 为了在开发过程中忽略证书验证错误,添加了新的命令行选项“—ignore-certificate-errors”; - 在地址栏中用于添加到在桌面渐进式 Web 应用程序 (PWA) 模式下运行的 Web 应用程序的书签的按钮旁边, 用于在系统上安装 Web 应用程序以作为单独程序运行的快捷方式;
- 对于移动设备,可以通过邀请将应用程序添加到主屏幕来控制迷你面板的显示。 对于 PWA(渐进式 Web 应用程序)应用程序,当您首次打开网站时,会自动显示默认的迷你栏。 开发人员现在可以拒绝显示此面板并实现自己的安装提示,为此他可以安装事件处理程序
beforeinstallprompt 并附加对 PreventDefault() 的调用;
- 增加了对 Android 环境中安装的 PWA 应用程序(渐进式 Web 应用程序)的更新检查频率。 WebAPK 更新现在每天检查一次,而不是像以前那样每三天检查一次。 如果此类检查显示清单中至少一个关键属性发生更改,则浏览器将下载并安装新的 WebAPK;
- 在 API 添加了使用 navigator.clipboard.read() 和 navigator.clipboard.write() 方法通过剪贴板以编程方式读取和写入图像的功能;
- 实现了对一组 HTTP 标头的支持 (Sec-Fetch-Dest、Sec-Fetch-Mode、Sec-Fetch-Site 和 Sec-Fetch-User),允许您发送有关请求性质的附加元数据(跨站点请求、通过 img 标签的请求等) .) 用于服务器接受防止某些类型攻击的措施(例如,不太可能通过 img 标签指定转帐处理程序的链接,因此可以阻止此类请求而不将其传递给应用程序);
- 新增功能 ,它以与单击提交按钮相同的方式启动表单数据的编程提交。 该函数可以在开发自己的表单提交按钮时使用,调用 form.submit() 是不够的,因为它不会导致参数的交互式验证、“提交”事件的生成和数据的传输绑定到提交按钮;
- IndexedDB 新增功能 ,它允许您提交与 IDBTransaction 对象关联的事务,而无需等待所有关联请求中的事件处理程序完成。 使用 commit() 可以提高对存储的写入和读取请求的吞吐量,并显式控制事务的完成;
- 为 Intl.DateTimeFormat 函数添加了选项,例如 formatToParts() 和resolveOptions() ,它允许您请求特定于区域设置的日期和时间显示样式;
- BigInt.prototype.toLocaleString() 方法已修改为根据区域设置格式化数字,并且 Intl.NumberFormat.prototype.format() 方法和 formatToParts() 函数已修改为支持 BigInt 输入值;
- 允许API 在所有类型的 Web Workers 中,可用于在从 Worker 创建 MediaStream 时选择最佳参数;
- 添加方法 ,仅返回已履行或已拒绝的承诺,不包括待处理的承诺;
- 删除了“--disable-infobars”选项,该选项之前可用于隐藏 Chrome 界面中的弹出警告(已提议使用 CommandLineFlagSecurityWarningsEnabled 规则来隐藏与安全相关的警告);
- 转至处理 blob 的界面 用于读取特定数据类型的方法text()、arrayBuffer()和stream();
- 添加了 CSS 属性“white-space:break-spaces”,以指定应打破任何导致行溢出的空白序列;
- 清理 chrome://flags 中的标志的工作已经开始,例如, 标志以禁用“ping”属性,该属性允许网站所有者跟踪其页面链接的点击情况。 如果您点击链接,并且浏览器中的“a href”标签中有一个“ping=URL”属性,您现在可以禁止向该属性中指定的 URL 发送额外的 POST 请求以及有关转换的信息。 由于该属性,就失去了阻止 ping 的意义 在 HTML5 规范中,有许多解决方法可以执行相同的操作(例如,通过传输链接或使用 JavaScript 处理程序拦截点击);
- 删除了禁用标志 ,其中来自不同主机的页面始终位于不同进程的内存中,每个进程都使用自己的沙箱。
- V8引擎显着提高了扫描和解析JSON格式的性能。 对于流行的网页,JSON.parse 执行速度最高可达 2.7 倍。 unicode字符串的转换显着加快,例如String#localeCompare、String#normalize以及一些Intl API的调用速度几乎翻倍。 当使用 freeze.indexOf(v)、frozen.includes(v)、fn(...frozen)、fn(...[...frozen]) 等操作时,冻结数组的操作性能也得到了显着优化和 fn.apply(this, [...冻结])。
除了创新和错误修复之外,新版本还消除了 。 许多漏洞是由自动化测试工具发现的 , , , и 。 目前还没有发现任何严重问题可以让人们绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。 作为为当前版本的漏洞提供现金奖励计划的一部分,Google 支付了 16 个奖励,金额为 23500 美元(一项奖励 10000 美元,一项奖励 6000 美元,两项奖励 3000 美元,三项奖励 500 美元)。 9 项奖励的金额尚未确定。
来源: opennet.ru