Chrome 8四、85 的三個不兼容更新,CLodop 中招,跨站 SSO 和 第三方 cookie 會是重災區
TLS 1.0 and TLS 1.1 政策變動
通知:https://chromestatus.com/feat...
通知內容:html
In M-84, Chrome will show a full page interstitial warning on sites that do not support TLS 1.2 or higher.
翻譯下,即git
在 Chrome 84 裏,chrome 會對不支持 TLS1.2 的站點,插入一個警告
簡要解釋下,對於 https 的連接,其中的安全層協議是基於 TLS 的,當前的很多站點,在服務器的配置都是 TLS1.2(十年前就出來了)及以上的,可是也有部分遺留站點是基於 TLS1.0 和 1.1 的,而 TLS1.0 和 1.1 又有很多安全漏洞,考慮到基於 TLS1.0 和 1.1 的連接佔比只有 0.5%,因此 chrome 以爲如今廢棄的時機到了。github
影響範圍
基於 TLS1.0 和 1.1 的站點,若是你在 chrome 84 裏直接訪問可能會這樣web
若是你有請求這樣的腳本文件,天然會請求失敗。chrome
實際上,若是你的 chrome 在 72 以上,最好是接近 84,那你如今就能在控制檯上看到這樣的警告瀏覽器
提早測試
若是你想提早開啓這個特性,安全
- 進入
chrome://flags/ - 搜索並 enabled
Enforce deprecation of legacy TLS versions - 重啓瀏覽器
這樣你就能夠先行測試了。服務器
中招的 CLodop
Lodop 做爲一款 web 打印插件,可能有很多人在用,正好發現他中招了,因此我就來提下。cookie
Lodop 的 web 打印插件,在處於 https 的環境下時,開發大機率會在代碼中請求 https://localhost:8443/CLodopfuncs.js?priority=1 的文件,這個https 連接,正好是基於 TLS1.0 和 1.1 的,因此在 chrome 84 下,就可能會請求失敗,致使原有的打印功能直接失敗,提示用戶未安裝。session
官方已知、可是並無升級應用程序來解決這個問題,後來通過查找,咱們發現了一個方法能夠規避這個問題。
- 直接請求
http://localhost:18000/CLodopfuncs.js?priority=1 - 若是 1 失敗請求
https://localhost:8443/CLodopfuncs.js?priority=1
這樣就能夠解決問題。
其中第2步,是爲兼容 chrome 53 以前的版本準備的,由於 chrome 53 以前,不能在 https 的環境下,請求 http://localhost 下的資源,而在這以後,就能夠請求http://localhost 下的資源,具體規範戳 MDN/Mixed_content 以及 w3c/webappsec-mixed-content
另外的不兼容更新
跨站 cookie 默認被禁
Chrome 84 還有一項政策更新,sameSite。關於這個其官網有重點介紹,國內的雲飛大佬,也有介紹 SameSite Cookie,防止 CSRF 攻擊。
大意就是,跨站 cookie 會被嚴格限制,大部分的跨站 cookie 默認會失效,跨站的 SSO(單點登錄) 和 第三方的 cookie 會是重災區,不過 chrome 也給出了方案,具體你們戳 連接 去看。
這裏也能夠給個簡單粗暴的方案,升級 https,而後 set-cookie 由
Set-Cookie: widget_session=abc123;
改成
Set-Cookie: widget_session=abc123; SameSite=None; Secure
跨源時,referrer 默認只發送源
Chrome 85 會更新 Referrer Policy 的默認值,詳情戳 Referrer Policy: Default to strict-origin-when-cross-origin。
簡要概述下,就是默認狀況下,原來在跨源狀況下,referrer 是能夠拿到一個較爲完整的 url 的(譬如 https://www.icourse163.org/learn/HIT-437006?tid=1450320464),如今只能拿到 origin(譬如 https://www.icourse163.org),對於依賴於 referrer 請求頭的一些應用,可能會出問題,譬如第三方、SSO(單點登錄)等。
要解決這個問題,在 html 上加一行代碼就行。
<meta name="referrer" content="no-referrer-when-downgrade">
Chrome 發佈時間
- Chrome 84 7/14 發佈
- Chrome 85 8/25 發佈
其他戳 schedule
後話
其實這種不兼容的更新,我不知道你們關不關注,也不知道能不能幫到一些人,反正先發出來看看,若是有人發現幫到了的話,歡迎留言告知。
- 1. iOS - Harpy版本更新工具兼容版本第三方庫
- 2. Anaconda更新和第三方包更新
- 3. chrome和第三方dll
- 4. 構建更安全網絡:逐步淘汰第三方 Cookie
- 5. SSO中的cookie跨域讀寫
- 6. IE和Firefox下的Cookie兼容問題
- 7. DevTools(Chrome 85)的新功能
- 8. 85、第三大的數
- 9. CocoaPods 第三方庫更新
- 10. 瀏覽器兼容(不是本質上解決瀏覽器兼容問題,只是一個招數)
- 更多相關文章...
- • Spring實例化Bean的三種方法 - Spring教程
- • ADO 更新記錄 - ADO 教程
- • SpringBoot中properties文件不能自動提示解決方法
- • RxJava操作符(三)Filtering
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. python的安裝和Hello,World編寫
- 2. 重磅解讀:K8s Cluster Autoscaler模塊及對應華爲雲插件Deep Dive
- 3. 鴻蒙學習筆記2(永不斷更)
- 4. static關鍵字 和構造代碼塊
- 5. JVM筆記
- 6. 無法啓動 C/C++ 語言服務器。IntelliSense 功能將被禁用。錯誤: Missing binary at c:\Users\MSI-NB\.vscode\extensions\ms-vsc
- 7. 【Hive】Hive返回碼狀態含義
- 8. Java樹形結構遞歸(以時間換空間)和非遞歸(以空間換時間)
- 9. 數據預處理---缺失值
- 10. 都要2021年了,現代C++有什麼值得我們學習的?