本文摘要：Google发布了最新的Chrome83beta版本，适用于Android、ChromeOS、Linux、macOS和Windows。可信类型（Trustedtypes）基于DOM的跨站点脚本（DOMXSS）是最常见的Web安全漏洞之一。 可信类型（Trustedtypes）是一项新技术，可帮助编写和维护易受DOMXSS漏洞攻击的应用程序。它通过保护存在泄露危险的API来做到这一点。像Element.innerHTML这样的属性就可能会使网站受到有害的HTML操纵。

Google发布了最新的Chrome83beta版本，适用于Android、ChromeOS、Linux、macOS和Windows。可信类型（Trustedtypes）基于DOM的跨站点脚本（DOMXSS）是最常见的Web安全漏洞之一。

可信类型（Trustedtypes）是一项新技术，可帮助编写和维护易受DOMXSS漏洞攻击的应用程序。它通过保护存在泄露危险的API来做到这一点。像Element.innerHTML这样的属性就可能会使网站受到有害的HTML操纵。如果使用此属性，可信类型将导致脚本抛出错误。

设置一个新的内容安全策略即可，例如：改进表单控件HTML表单控件为大多数Web交互提供了基础。它们易于开发人员使用，具有内置的可访问性。

但表单控件的样式完全不一致。最早的窗体控件与所使用的操作系统匹配，后来的控件则遵循了创建它们时流行的设计风格。这种变化迫使开发人员花费更多的时间并交付额外的代码。

在过去的一年中，Chrome和Edge进行了合作，以改善HTML表单控件的外观和功能。这项工作包括使控件和其他交互元素的集中状态更容易感知。下图显示了Chrome中某些控件的新旧版本对比。

旧版本：新版本：新的表单控件已经在MicrosoftEdge中提供，现也可以在Chrome83中使用。新的跨域政策一些WebAPI会增加诸如Spectre之类的旁道攻击的风险。

为了减轻这种风险，Chrome提供了一个基于选择加入的隔离环境，称为跨域隔离。这是通过两个新的HTTP标头完成的：Cross-Origin-Embedder-Policy和Cross-Origin-Opener-Policy。使用这些标头，网页可以安全地使用特权功能，包括：跨域隔离状态还可以防止对document.domain进行修改。

更多更新详情见Chromium博客：https://blog.chromium.org/2020/04/chrome-83-beta-cross-site-scripting.html。

本文来源：金沙国际 网址js6688-www.ymggao.com