Google 發(fā)布了最新的 Chrome 83 beta 版本，適用于 Android、Chrome OS、Linux、macOS 和 Windows。

基于 DOM 的跨站點腳本（DOM XSS）是最常見的 Web 安全漏洞之一?？尚蓬愋停═rusted types）是一項新技術(shù)，可幫助編寫和維護易受 DOM XSS 漏洞攻擊的應(yīng)用程序。它通過保護存在泄露危險的 API 來做到這一點。

像 Element.innerHTML 這樣的屬性就可能會使網(wǎng)站受到有害的 HTML 操縱。如果使用此屬性，可信類型將導(dǎo)致腳本拋出錯誤。設(shè)置一個新的內(nèi)容安全策略即可，例如：

HTML 表單控件為大多數(shù) Web 交互提供了基礎(chǔ)。它們易于開發(fā)人員使用，具有內(nèi)置的可訪問性。但表單控件的樣式完全不一致。最早的窗體控件與所使用的操作系統(tǒng)匹配，后來的控件則遵循了創(chuàng)建它們時流行的設(shè)計風(fēng)格。這種變化迫使開發(fā)人員花費更多的時間并交付額外的代碼。

在過去的一年中，Chrome 和 Edge 進(jìn)行了合作，以改善 HTML 表單控件的外觀和功能。這項工作包括使控件和其他交互元素的集中狀態(tài)更容易感知。下圖顯示了 Chrome 中某些控件的新舊版本對比。

舊版本：

新版本：

新的表單控件已經(jīng)在 Microsoft Edge 中提供，現(xiàn)也可以在 Chrome 83 中使用。

一些 Web API 會增加諸如 Spectre 之類的旁道攻擊的風(fēng)險。為了減輕這種風(fēng)險，Chrome 提供了一個基于選擇加入的隔離環(huán)境，稱為跨域隔離。這是通過兩個新的 HTTP 標(biāo)頭完成的： Cross-Origin-Embedder-Policy

和 Cross-Origin-Opener-Policy。使用這些標(biāo)頭，網(wǎng)頁可以安全地使用特權(quán)功能，包括：

跨域隔離狀態(tài)還可以防止對document.domain進(jìn)行修改。

更多更新詳情見 Chromium 博客：

https://blog.chromium.org/2020/04/chrome-83-beta-cross-site-scripting.html