谷歌 網絡瀏覽器發布 。 同時地 免費項目的穩定發布 ,這是 Chrome 的基礎。 Chrome 瀏覽器 Google 徽標的使用、出現崩潰時發送通知的系統、按需下載 Flash 模塊的能力、播放受保護視頻內容 (DRM) 的模塊、自動更新系統和搜索傳輸 . Chrome 77 的下一個版本定於 10 月 XNUMX 日發布。
:
- 默認情況下,第三方 cookie 保護模式,在 Set-Cookie 標頭中沒有 SameSite 屬性的情況下,默認為“SameSite=Lax”,限制從第三方站點發送插入的 Cookie(但站點仍將能夠通過將 Cookie 顯式設置為 SameSite=None 來覆蓋限制)。 到目前為止,瀏覽器已根據任何請求將 cookie 傳遞給已設置 cookie 的站點,即使最初打開了另一個站點並且請求是通過加載圖像或通過 iframe 間接發出的。 在“Lax”模式下,cookie 傳輸僅針對跨站點子請求被阻止,例如請求圖像或通過 iframe 加載內容,這些通常用於發起 CSRF 攻擊和跟踪用戶在站點之間的移動。
- 默認情況下停止播放 Flash 內容。 直到 Chrome 87 發布,預計 2020 年 2020 月,可以在設置(高級 > 隱私和安全 > 站點設置)中返回 Flash 支持,然後明確確認每個站點播放 Flash 內容的操作(確認被記住直到瀏覽器重新啟動)。 完全刪除支持 Flash 的代碼與 Adobe 早先計劃在 XNUMX 年結束對 Flash 的支持是同步的;
- 對於企業,在地址欄中添加了在 Google Drive 存儲中搜索文件的功能;
- 開始 在 Chrome 中,干擾體驗且不符合廣告改進聯盟制定的標準的不當廣告;
- 實現了切換到新頁面的自適應模式,在這種模式下,當前內容被清除,白色背景不是立即顯示,而是在短暫延遲後顯示。 對於快速加載的頁面,清除只會導致閃爍,並且不會攜帶旨在通知用戶新頁面開始加載的有效負載。 在新版本中,如果頁面打開速度快,並在一個小的延遲內適應,則新頁面顯示到位,無縫替換之前的頁面(例如,切換到同一站點的其他相似頁面時很方便在設計和配色方案中)。 如果頁面需要一些時間才能被用戶看到,那麼屏幕將像以前一樣被預先清除;
- 確定頁面上用戶活動的標準已經收緊。 Chrome 僅允許在用戶與頁面交互後播放彈出通知和煩人的視頻/音頻內容。 在新版本中,按下 Escape、將鼠標懸停在鏈接上以及觸摸屏幕不再被視為頁面激活交互(需要明確的點擊、鍵入或滾動);
- “prefers-color-scheme”媒體查詢,它允許站點檢測瀏覽器是否使用深色主題並自動為正在查看的站點啟用深色。
- 當您在 Linux 的構建中啟用深色主題時,地址欄現在顯示為深色;
- 通過使用 FileSystem API 來確定以隱身模式打開頁面的能力,以前一些出版物使用它來在不記住 Cookie 的情況下匿名打開頁面的情況下強加付費訂閱(這樣用戶就不會使用私有模式繞過提供免費試用訪問的機制)。 以前,在隱身模式下工作時,瀏覽器會阻止對 FileSystem API 的訪問以防止會話之間的數據結算,這允許 JavaScript 通過 FileSystem API 檢查保存數據的能力,並在失敗時判斷隱身模式的活動. 現在對 FileSystem API 的訪問沒有被阻塞,會話結束後內容被清除;
- 新的挑戰
API 支付請求和支付處理程序。 PaymentRequestEvent 對像中出現了一個新的 changePaymentMethod() 方法,PaymentRequest 對像中添加了一個新的 paymentmethodchange 事件處理程序,它允許收集付款的站點或 Web 應用程序響應用戶更改付款方式。 新版本還使在支付相關 API 中使用自簽名證書測試應用程序變得更加容易。 添加了一個新的命令行選項“--ignore-certificate-errors”以忽略開發過程中的證書驗證錯誤; - 在桌面漸進式 Web 應用程序 (PWA) 模式下運行的 Web 應用程序的書籤按鈕旁邊的地址欄中, 將 Web 應用程序安裝到系統中以作為獨立程序運行的快捷方式;
- 對於移動設備,提供了通過邀請將應用程序添加到主屏幕來控制迷你面板顯示的能力。 對於 PWA(漸進式 Web 應用程序)應用程序,默認迷你欄會在您首次打開網站時自動顯示。 開發人員現在可以拒絕顯示此面板並實現自己的安裝提示,您可以為此設置事件處理程序
beforeinstallprompt 並附加對 preventDefault() 的調用;
- 增加了安裝在 Android 環境中的 PWA(Progressive Web App)應用程序的更新檢查頻率。 WebAPK 更新現在每天檢查一次,而不是以前的每三天檢查一次。 如果在這種檢查過程中在清單中檢測到至少一個關鍵屬性發生變化,瀏覽器將下載並安裝新的 WebAPK;
- 在API中 添加了使用 navigator.clipboard.read() 和 navigator.clipboard.write() 方法通過剪貼板以編程方式讀取和寫入圖像的功能;
- 實現了對一組 HTTP 標頭的支持 (Sec-Fetch-Dest、Sec-Fetch-Mode、Sec-Fetch-Site 和 Sec-Fetch-User),它允許您發送有關請求性質的額外元數據(跨站點請求、通過 img 標籤請求)等)服務器接受措施以防止某些類型的攻擊(例如,不太可能通過 img 標籤設置到匯款處理程序的鏈接,因此此類請求可以在不被傳遞的情況下被阻止申請);
- 添加了功能 , 它啟動表單數據的編程提交,類似於單擊提交按鈕。 該函數可以在開發您自己的表單提交按鈕時使用,調用 form.submit() 是不夠的,因為它不會導致交互式參數驗證,引發“提交”事件並將數據綁定到提交按鈕;
- 添加到 IndexedDB 的功能 允許您提交與 IDBTransaction 對象關聯的事務,而無需等待所有關聯請求中的事件處理程序完成。 使用 commit() 允許您增加對存儲的寫入和讀取請求的吞吐量,並明確控制事務的完成;
- 添加到 Intl.DateTimeFormat 函數的選項,例如 formatToParts() 和 resolveOptions() ,它允許您請求特定於區域設置的樣式來顯示日期和時間;
- BigInt.prototype.toLocaleString() 方法已更改為根據語言環境格式化數字,而 Intl.NumberFormat.prototype.format() 方法和 formatToParts() 函數已調整為支持 BigInt 輸入值;
- 允許API 在所有類型的 Web Workers 中,可用於在從 worker 創建 MediaStream 時選擇最佳參數;
- 添加方法 ,它只返回履行或拒絕的承諾,忽略未決的承諾;
- 刪除了“--disable-infobars”選項,該選項之前可用於隱藏 Chrome 界面中的彈出警告(CommandLineFlagSecurityWarningsEnabled 已被提議用於隱藏與安全相關的警告);
- 到使用 blob 的界面 用於讀取特定數據類型的 text()、arrayBuffer() 和 stream() 方法;
- 添加“white-space:break-spaces”CSS 屬性,指定任何導致行溢出的空白序列必須被打破;
- 已經開始清理 chrome://flags 中的標誌,例如, 禁用“ping”屬性的標誌,該屬性允許站點所有者跟踪對其頁面鏈接的點擊。 如果使用“a href”標籤中帶有“ping=URL”屬性的鏈接,瀏覽器將無法再禁止向屬性中指定的 URL 發送額外的 POST 請求,其中包含有關轉換的信息。 阻塞ping的意義就在於此屬性丟失 在 HTML5 規範中,有許多解決方法可以做同樣的事情(例如,通過傳輸鏈接轉發或使用 JavaScript 處理程序掛鉤點擊);
- 刪除標誌以禁用 ,其中不同主機的頁面總是位於不同進程的內存中,每個進程都使用自己的沙箱。
- 在V8引擎中,掃描和解析JSON格式的性能得到了顯著提升。 對於流行的網頁,JSON.parse 最多快 2.7 倍。 unicode字符串的轉換速度大大加快,例如String#localeCompare、String#normalize以及一些Intl API的調用速度幾乎翻了一番。 使用 frozen.indexOf(v)、frozen.includes(v)、fn(…frozen)、fn(…[…frozen]) 和 fn.apply(this) 等操作時,凍結數組的操作性能也得到了顯著優化,[...凍結])。
除了創新和錯誤修復外,新版本還消除了 . 許多漏洞是通過自動化測試工具識別出來的 , , , и . 沒有發現允許繞過所有瀏覽器保護級別並在沙盒環境之外的系統中執行代碼的關鍵問題。 作為當前版本漏洞賞金計劃的一部分,Google 支付了 16 筆價值 23500 美元的獎金(一筆 10000 美元獎金、一筆 6000 美元獎金、兩筆 3000 美元獎金和三筆 500 美元獎金)。 9獎勵的數額尚未確定。
來源: opennet.ru