谷歌 Chrome 83 Beta 發(fā)布：與 Edge 合作改進(jìn)的表單控件

Google 發(fā)布了最新的 Chrome 83 beta 版本，適用于 Android、Chrome OS、Linux、macOS 和 Windows。

基于 DOM 的跨站點(diǎn)腳本（DOM XSS）是最常見的 Web 安全漏洞之一?？尚蓬愋停═rusted types）是一項(xiàng)新技術(shù)，可幫助編寫和維護(hù)易受 DOM XSS 漏洞攻擊的應(yīng)用程序。它通過保護(hù)存在泄露危險(xiǎn)的 API 來做到這一點(diǎn)。

像 Element.innerHTML 這樣的屬性就可能會(huì)使網(wǎng)站受到有害的 HTML 操縱。如果使用此屬性，可信類型將導(dǎo)致腳本拋出錯(cuò)誤。設(shè)置一個(gè)新的內(nèi)容安全策略即可，例如：

HTML 表單控件為大多數(shù) Web 交互提供了基礎(chǔ)。它們易于開發(fā)人員使用，具有內(nèi)置的可訪問性。但表單控件的樣式完全不一致。最早的窗體控件與所使用的操作系統(tǒng)匹配，后來的控件則遵循了創(chuàng)建它們時(shí)流行的設(shè)計(jì)風(fēng)格。這種變化迫使開發(fā)人員花費(fèi)更多的時(shí)間并交付額外的代碼。

在過去的一年中，Chrome 和 Edge 進(jìn)行了合作，以改善 HTML 表單控件的外觀和功能。這項(xiàng)工作包括使控件和其他交互元素的集中狀態(tài)更容易感知。下圖顯示了 Chrome 中某些控件的新舊版本對(duì)比。

舊版本：

新版本：

新的表單控件已經(jīng)在 Microsoft Edge 中提供，現(xiàn)也可以在 Chrome 83 中使用。

一些 Web API 會(huì)增加諸如 Spectre 之類的旁道攻擊的風(fēng)險(xiǎn)。為了減輕這種風(fēng)險(xiǎn)，Chrome 提供了一個(gè)基于選擇加入的隔離環(huán)境，稱為跨域隔離。這是通過兩個(gè)新的 HTTP 標(biāo)頭完成的： Cross-Origin-Embedder-Policy

和 Cross-Origin-Opener-Policy。使用這些標(biāo)頭，網(wǎng)頁可以安全地使用特權(quán)功能，包括：

跨域隔離狀態(tài)還可以防止對(duì)document.domain進(jìn)行修改。

更多更新詳情見 Chromium 博客：

https://blog.chromium.org/2020/04/chrome-83-beta-cross-site-scripting.html