TLS1.0和TLS1.1政策变更通知:https://chromestatus.com/feat...通知内容:在M-84中,Chrome将在不支持TLS1.2或更高版本的网站上显示整页插页式警告。翻译下,即在Chrome84中,chrome会在不支持TLS1.2的网站插入警告简单说明,对于https链接,安全层协议是基于TLS的,目前很多网站,服务器的配置是TLS1.2(十年前就出来了)及以上版本,但也有一些遗留站点是基于TLS1.0和1.1的,TLS1.0和1.1有很多安全漏洞。考虑到基于TLS1.0和1.1的链接只占0.5%,chrome认为是时候放弃它了。影响范围基于TLS1.0和1.1站点。如果直接在chrome84中访问,可能会出现这种情况。如果请求这样的脚本文件,请求自然会失败。其实如果你的chrome在72以上,最好接近84,你现在可以在控制台看到这样的警告提前测试一下。如果您想提前启用此功能,请输入chrome://flags/search并启用EnforcedeprecationoflegacyTLSversions重新启动浏览器以便您可以先进行测试。招募的CLodopLodop是一款网页打印插件,可能很多人都在用。正好他中招了,就提一下。Lodop的网页打印插件,在https环境下,开发大概率会在代码中请求https://localhost:8443/CLodopfuncs.js?priority=1这个文件。这个https链接恰好是基于TLS1.0和1.1的,所以在chrome84下,可能会请求失败,导致原来的打印功能直接失效,提示用户没有安装。官方已经知道了,但是应用还没有升级来解决这个问题。经过查找,我们找到了绕过这个问题的方法。直接请求http://localhost:18000/CLodopfuncs.js?priority=1如果1失败请求https://localhost:8443/CLodopfuncs.js?priority=1这样就可以解决问题了。第二步是为兼容chrome53之前的版本做的准备,因为chrome53之前无法在https环境下请求http://localhost下的资源,之后可以请求http://localhost下的资源,见具体规范的MDN/Mixed_content和w3c/webappsec-mixed-content。另一个不兼容的更新跨站cookie默认被禁止。Chrome84还有一个策略更新,sameSite。对此,其官网有重点介绍,国内的云飞大佬也介绍了SameSiteCookie来防止CSRF攻击。总体思路是严格限制跨站cookies,大部分跨站cookies默认是无效的。跨站SSO(单点登录)和第三方cookies将是重灾区,不过chrome也给出了方案。点击链接查看。这里也可以给出一个简单粗暴的解决方案,升级https,然后从Set-Cookie中设置cookie:widget_session=abc123;设置Cookie:widget_session=abc123;相同站点=无;Secure跨域时,referrer默认只发送源Chrome85会更新ReferrerPolicy的默认值。有关详细信息,请单击引荐来源策略:默认为strict-origin-when-cross-origin。简单概括一下,默认情况下,referrer在跨域的情况下可以获得比较完整的url(例如https://www.icourse163.org/learn/HIT-437006?tid=1450320464),现在你可以只获取来源(例如https://www.icourse163.org)。对于一些依赖referrer请求头的应用,可能会出现问题,比如第三方、SSO(单点登录)等,要解决这个问题,只需在html中添加一行代码即可。
