-
-
Web开发新变化:Chrome启用安全自动增强策略
-
发表于: 2015-4-29 18:17 1515
-
新闻链接:http://www.infoq.com/cn/news/2015/04/chrome-beta-43
新闻时间:2015年4月27日
新闻正文:
近日,Chrome Beta 43发布,新增Web MIDI支持,改进了安全性和兼容性,以下是主要变化:
- 允许从Web页面连接MIDI设备:MIDI是一种音乐设备(如音乐合成器、电子鼓)使用的通信协议。在Chrome 43中,用户可以使用MIDI硬件创作乐曲,而不需要安装任何特定的软件,因为Web MIDI API允许网站与已连接的设备通信,如连接到Android平板的USB-MIDI电子鼓。
- Permissions API:以前,网站无法确定API(如Geolocation)的权限状态,导致页面加载完成后会弹出令用户感到困惑的授权提示。新的Permissions API允许开发人员查询Geolocaton、Push、Notifications、Web MIDI等API的授权状态,根据需要要求授权,增强用户体验。
- 将DOM属性移到原型链上:在Chrome 43中,定义在DOM对象上的属性已经移到原型链上。这使开发人员可以在DOM对象上高效地重写或创建方法,提升与Firefox和Internet Explorer的兼容性。不过,这项更改可能会导致现有内容出现问题,开发人员应该在Chrome 43正式发布前用它测试他们的网站。
- 将遗留站点升级到HTTPS:Chrome 43将启用新的内容安全策略“升级不安全请求(upgrade-insecure-requests)”,即在启用升级非安全请求后,HTTP会被作为HTTPS对待。许多传统网站的页面可能包含了HTTP资源请求,在启用HTTPS后页面的HTTP请求仍然给中间人劫持和监听留下了空间。然而网站开发者无需担心,Chrome浏览器会自动帮你完成安全升级,有兴趣的开发者可以去参考Google给出的示例。类似的安全策略在2013年发布的Firefox 23及其以后版本均开始采用。
另外,为了使开发人员能够创建功能更加强大的Web应用程序,Chrome 43还做了许多细节上的修改,涉及Cache Storage API、Fetch API、Web Audio API等。详情请查看这里。
感谢魏星对本文的审校。
给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ,@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者)。
高危漏洞频发,隐私泄露,普通开发者该如何避免和防范;开发者如何从逻辑上避免风险?在【QCon北京2015】“新时代的安全”专题中,在Pwn2Own 2015上夺冠的Keen Team安全研究员Peter Hlavaty将解读内核安全精髓;阿里巴巴安全专家祝建跃将分享互联网全球最大DDoS攻击防御实战。
新闻时间:2015年4月27日
新闻正文:
近日,Chrome Beta 43发布,新增Web MIDI支持,改进了安全性和兼容性,以下是主要变化:
- 允许从Web页面连接MIDI设备:MIDI是一种音乐设备(如音乐合成器、电子鼓)使用的通信协议。在Chrome 43中,用户可以使用MIDI硬件创作乐曲,而不需要安装任何特定的软件,因为Web MIDI API允许网站与已连接的设备通信,如连接到Android平板的USB-MIDI电子鼓。
- Permissions API:以前,网站无法确定API(如Geolocation)的权限状态,导致页面加载完成后会弹出令用户感到困惑的授权提示。新的Permissions API允许开发人员查询Geolocaton、Push、Notifications、Web MIDI等API的授权状态,根据需要要求授权,增强用户体验。
- 将DOM属性移到原型链上:在Chrome 43中,定义在DOM对象上的属性已经移到原型链上。这使开发人员可以在DOM对象上高效地重写或创建方法,提升与Firefox和Internet Explorer的兼容性。不过,这项更改可能会导致现有内容出现问题,开发人员应该在Chrome 43正式发布前用它测试他们的网站。
- 将遗留站点升级到HTTPS:Chrome 43将启用新的内容安全策略“升级不安全请求(upgrade-insecure-requests)”,即在启用升级非安全请求后,HTTP会被作为HTTPS对待。许多传统网站的页面可能包含了HTTP资源请求,在启用HTTPS后页面的HTTP请求仍然给中间人劫持和监听留下了空间。然而网站开发者无需担心,Chrome浏览器会自动帮你完成安全升级,有兴趣的开发者可以去参考Google给出的示例。类似的安全策略在2013年发布的Firefox 23及其以后版本均开始采用。
另外,为了使开发人员能够创建功能更加强大的Web应用程序,Chrome 43还做了许多细节上的修改,涉及Cache Storage API、Fetch API、Web Audio API等。详情请查看这里。
感谢魏星对本文的审校。
给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ,@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者)。
高危漏洞频发,隐私泄露,普通开发者该如何避免和防范;开发者如何从逻辑上避免风险?在【QCon北京2015】“新时代的安全”专题中,在Pwn2Own 2015上夺冠的Keen Team安全研究员Peter Hlavaty将解读内核安全精髓;阿里巴巴安全专家祝建跃将分享互联网全球最大DDoS攻击防御实战。
赞赏
看原图
赞赏
雪币:
留言: