主持人 > 博客 > 網絡新聞 > Chrome 版本 104

Chrome 版本 104

谷歌發布了Chrome 104網頁瀏覽器,同時作為Chrome基礎的免費Chromium專案也發布了穩定版本。 Chrome 瀏覽器與 Chromium 的不同之處在於使用 Google 標誌、存在崩潰時發送通知的系統、播放受版權保護的影片內容 (DRM) 的模組、自動安裝更新的系統、永久啟用沙盒隔離,向Google API提供金鑰並在搜尋時傳輸RLZ- 參數。 對於那些需要更多時間更新的人,單獨支援 Extended Stable 分支,隨後是 8 週。 Chrome 105 的下一個版本計劃於 30 月 XNUMX 日發布。

Chrome 104 的主要變化:

  • 引入了 Cookie 生命週期限制 - 所有新的或更新的 Cookie 將在存在 400 天後自動刪除,即使透過 Expires 和 Max-Age 屬性設定的過期時間超過 400 天(對於此類 Cookie,生命週期將減少至400 天)。 在實施限制之前建立的 Cookie 將保留其生命週期,即使超過 400 天,但如果更新,則會受到限制。 這項變更反映了新規範草案中指出的新要求。
  • 啟用了對引用本機檔案系統(「filesystem://」)的 iframe URL 的封鎖。
  • 為了加快頁面加載速度,添加了新的優化,可確保在您單擊連結時立即建立與目標主機的連接,而無需等待您釋放按鈕或將手指從觸控螢幕上移開。
  • 新增了用於管理「主題和興趣群組」API 的設置,該API 作為Privacy Sandbox 計劃的一部分進行推廣,可讓您定義使用者興趣類別並使用它們而不是追蹤Cookie 來識別具有相似興趣的使用者群組,而無需識別單一使用者。 此外,還添加了顯示一次的資訊對話框,向使用者解釋該技術的本質並提供在設定中啟動其支援。
  • 增加了閾值以限制對 setTimeout 和 setInterval 計時器的嵌套呼叫以小於 4 毫秒的間隔運行(“setTimeout(..., <4ms)”)。 此類調用的總數限制已從 5 個增加到 100 個,因此可以不大幅減少單一調用,同時防止可能影響瀏覽器效能的濫用。
  • Enabled是當頁面存取內網(192.168.xx)子資源時,向主站伺服器發送CORS(跨來源資源共用)授權確認請求,請求頭為「Access-Control-Request-Private-Network: true」 、10 .xxx、172.16-31.xx)或本機(127.xxx)。 當確認回應該要求的操作時,伺服器必須傳回「Access-Control-Allow-Private-Network: true」標頭。 在 Chrome 版本 104 中,確認結果尚不影響請求的處理 - 如果沒有確認,Web 控制台中會顯示警告,但子資源請求本身不會被封鎖。 在 Chrome 107 之前,預計不會啟用無確認封鎖。若要在早期版本中啟用封鎖,您可以啟用「chrome://flags/#private-network-access-respect-preflight-results」設定。

    引入伺服器權限驗證是為了加強對與透過開啟網站時載入的腳本存取本機網路或使用者電腦 (localhost) 上的資源相關的攻擊的防護。 攻擊者利用此類請求對路由器、存取點、印表機、企業 Web 介面以及僅接受來自本機網路的請求的其他裝置和服務進行 CSRF 攻擊。 為了防止此類攻擊,如果在內網存取任何子資源,瀏覽器將發送明確請求,請求載入這些子資源的權限。

  • 新增了區域擷取機制,可讓您從基於螢幕擷取產生的影片中修剪不必要的內容。 例如,使用 getDisplayMedia API,Web 應用程式可以串流傳輸選項卡內容的視頻,而區域擷取可讓您剪切包含視訊會議控制項的部分內容。
  • 新增了對媒體查詢等級 4 規範中定義的新媒體查詢語法的支持,該語法確定可見區域(視口)的最小和最大尺寸。 新語法可讓您使用常見的數學比較運算子和邏輯運算符,例如「not」、「or」和「and」。 例如,您現在可以指定“@media (width >= 400px) { … }”,而不是“@media (min-width: 400px) { … }”。
  • 幾個新的 API 已添加到 Origin Trials 模式(需要單獨激活的實驗性功能)。 Origin 試用意味著能夠使用從本地主機或 127.0.0.1 下載的應用程序中的指定 API,或者在註冊並接收對特定站點在有限時間內有效的特殊令牌之後。
    • 新增了 CSS 屬性“focusgroup”,以改善使用鍵盤上的箭頭鍵對元素進行導航。
    • 安全支付確認 API 使用戶能夠停用信用卡設定儲存。 為了顯示一個允許您拒絕儲存信用卡參數的對話框,PaymentRequest() 建構函式提供了「showOptOut: true」標誌。
    • 新增了共用元素轉換 API,它允許您在單頁 Web 應用程式中的不同內容視圖之間組織平滑轉換。
  • 對推測規則的支援已經穩定,允許網站作者向瀏覽器提供有關用戶最有可能訪問的頁面的資訊。 瀏覽器使用此資訊主動載入和呈現頁面內容。
  • 將子資源打包成 Web Bundle 格式的套件的機制已經穩定,可以提高載入大量附帶檔案(CSS 樣式、JavaScript、圖片、iframe)的效率。 與Webpack格式的套件不同,Web Bundle格式具有以下優點:HTTP快取中儲存的不是套件本身,而是其組成部分; JavaScript 的編譯和執行無需等待套件完全下載即可開始; 允許包含額外的資源,例如 CSS 和圖像,這些資源在 webpack 中必須以 JavaScript 字串的形式進行編碼。
  • 新增了 object-view-box CSS 屬性,該屬性允許您定義將在該區域中顯示的圖像的一部分而不是給定元素,例如,可以使用該屬性添加邊框或陰影。
  • 新增了全螢幕能力委託 API,允許一個 Window 物件將呼叫 requestFullscreen() 的權利委託給另一個 Window 物件。
  • 新增了全螢幕伴隨視窗 API,允許在收到用戶確認後將全螢幕內容和彈出視窗放置在另一個螢幕上。
  • 在overflow-clip-margin CSS屬性中加入了一個visual-box屬性,該屬性決定從哪裡開始修剪超出區域邊界的內容(可以取值content-box、padding-box和border-)盒子)。
  • 非同步剪貼簿 API 新增了為透過剪貼簿傳輸的資料(文字、圖像和標記的文字除外)定義專用格式的功能。
  • WebGL 支援在從紋理匯入時指定渲染緩衝區和變換的色彩空間。
  • 對 OS X 10.11 和 macOS 10.12 平台的支援已停止。
  • 先前已棄用並預設為停用的 U2F (Cryptotoken) API 已停止使用。 U2F API 已被 Web 驗證 API 取代。
  • Web 開發人員的工具已改進。 偵錯器現在能夠在函數體內的某個位置命中斷點後從函數的開頭重新啟動程式碼。 新增了對為記錄器面板開發附加元件的支援。 在效能分析面板中新增了透過呼叫 Performance.measure() 方法來視覺化 Web 應用程式中設定的標記的支援。 改進了 JavaScript 物件屬性自動完成的建議。 自動補全CSS變數時,提供與顏色無關的值的預覽。
    Chrome 版本 104

除了創新和錯誤修復之外,新版本還消除了 27 個漏洞。 許多漏洞是透過使用 AddressSanitizer、MemorySanitizer、控制流程完整性、LibFuzzer 和 AFL 工具進行自動化測試而發現的。 目前還沒有發現任何嚴重問題可以讓人們繞過所有層級的瀏覽器保護並在沙箱環境之外的系統上執行程式碼。 作為發現當前版本漏洞的現金獎勵計劃的一部分,Google 支付了22 個獎金,價值84 美元(15000 個10000 美元獎勵、8000 個7000 美元獎勵、5000 個4000 美元獎勵、3000 個2000 美元獎勵、1000 個XNUMX美元獎勵、XNUMX 個XNUMX 美元獎勵、XNUMX 個XNUMX 美元獎勵) ,四個 XNUMX 美元的獎項,三個 XNUMX 美元的獎項)。 一項獎勵的金額尚未確定。

來源: opennet.ru

添加評論