制作文档
beplay体育能用吗依靠放宽相同起源政策以允许子域交换内容的解决方法的网络开发人员很快需要采取不同的方法。
从即将发布的Chrome 106版本开始,谷歌的网络beplay体育能用吗浏览器将弥补漏洞,该漏洞与最佳实践有关,更重要的是,在托管环境中构成危险。
更具体地说,从Chrome 106开始,网站将无法设置”beplay体育能用吗document.domain’,一种允许相同位置但杂交通信的技术。
当前主流版本的Google的浏览器- Chrome 100 - 已经提出了有关即将弃用设施的警告,该设施使网站开发人员可以利用beplay体育能用吗document.domain放宽同一产卵政策。
beplay体育能用吗敦促网站开发人员扫描其网站,以访问贬值的潜在影响document.domain如最近在一个最近的一个情况下,在淹没了“黑客攻击”的实例之前博客文章由Google。
“在Chrome上,网站beplay体育能用吗将无法设置document.domain。您将需要使用替代方法,例如Postmessage()或频道消息传递API,以传达交叉原始物质。” Google解释说。
“如果您的网站依靠beplay体育能用吗相同的原始政策放松document.domain要正确运行,该网站将需要发送原点代理群集:?0标题,所有其他需要该行为的文件也是如此。”
这些替代技术已经存在了几年。但是实际上,很少有开发人员依靠document.domain放宽同一产卵政策。
否认
Google有效地杀死了一项未被广泛使用的功能,因此获得了巨大的安全收益。
开发从浏览器安全范式从位点隔离到起源隔离- 大大降低了光谱风格的攻击进行中。
Google和其他浏览器制造商正在为防止使用Spectre Style攻击在子域之间旋转攻击者的基础。
这相同的原始政策提供保证任何网页都无法访问(修改或从中提取数据)其他页beplay体育能用吗面,除非这些页面托管在相同的原点上。
指某东西的用途document.domainWebbeplay体育能用吗开发人员违反此规则,并在Spectre Style攻击的背景下构成了特定的威胁,作为一个Google Chrome安全开发商Mike West的Github帖子说明。
主持人
beplay体育能用吗网站设置document.domain为了允许同一站点文档更容易通信。在提供便利福利的同时,该方法引入了安全风险,如Google所解释的:
如果托管服务每个用户提供不同的子域,则攻击者可以设置document.domain假装它们与另一个用户的页面相同。
此外,攻击者可以在共享托管服务下托管网站,该网站通过具有不同端口beplay体育能用吗号的同一IP地址为网站提供服务。
在这种情况下,攻击者可以假装与您的相同位置但遇到的攻击者。这是可能的,因为document.domain忽略域的端口号部分。
其他浏览器制造商,包括Mozilla,也希望贬低document.domain。
