Mozilla刚刚在官方博文中宣布,他们很高兴为Firefox88引入新的保护措施,以进一步防止网络滥用。隐私泄露。据悉,自20世纪90年代后期以来,网络浏览器广泛使用window.name属性来存储网页数据。但在更新到Firefox88后,跟踪器将无法再滥用window.name属性来跨站点跟踪用户(例如识别用户或窥探他们的浏览历史记录)。为了弥补这个漏洞,Firefox现在对创建window.name属性的网站施加了特定的限制。以前,Web窗口的window.name属性允许超链接或表单成为目标,允许用户访问的任何网站将window.name属性称为任何数据的大锅。但是,从历史上看,存储在window.name中的数据并没有被浏览器强制执行的同源策略禁止,从而导致网站之间某种形式的数据共享。具有window.name持久性的跨源导航例如,假设位于https://example.com/的页面将window.name属性设置为“my-identity@email.com”。那么即使用户点击链接并导航到https://malicious.com/恶意网站,信息也会被保留。这意味着恶意站点上的页面仍然可以在用户不知情或未同意的情况下读取相关信息。Firefox88清理了window.name之后的跨源导航多年来,跟踪公司一直在滥用这一领域的漏洞,有效地将它们变成跨站点的数据管道。更糟糕的是,恶意站点还可以窥视window.name属性的内容,导致用户无意中泄露隐私数据。值得庆幸的是,在升级到Firefox88之后,浏览器将尝试识别window.name的潜在有害使用,在这种情况下,将尽最大努力在它被滥用之前将其删除。例如,如果单击的链接没有打开弹出窗口,Firefox只会清除window.name。此外,为避免不必要的体验中断,如果用户导航回之前的站点,Firefox会自动将window.name属性恢复为站点之前的值。在这套双重规则的约束下,Firefox88可以有效地将数据限制在原站点范围内(有点类似于Firefox全面的cookie保护功能),这对于防止网站滥用window.name收集用户的信息至关重要。个人资料。
