Chrome支援多项安全机制，让网页应用防御注入攻击并增加网页隔离性最新消息

Google在最近发布的Chrome 83中，支援多种新的安全机制，包括可信类型（Trusted Types）、内容安全性政策（Content Security Policy，CSP）和跨来源开放者政策（Cross-Origin Opener Policy，COOP）等，让网页开发人员能够保护其应用程序，免遭到注入攻击的侵害，并且强化网页应用程序的隔离性。不只是Chrome，主要的浏览器也都开始实作这些安全机制。

Google提到，虽然网页平台与底层操作系统有着强健的隔离性，但是网页应用程序之间的隔离性却相对薄弱，因此产生XSS、CSRF和跨站泄漏等问题，而这些漏洞出现的原因，是由网页的可组合性、开放性和易开发性等特质带来的结果，因为当初万维网只是由相互关联的文件，所组成的网络，并没有预料会成为丰富的网络应用生态系，且需要处理大量的使用者私密个人资料。

因为这样的原因，Google认为，可以让开发人员在网页平台上，保护其用户资料的安全功能发展缓慢，而且通常只针对常见的漏洞提供保护。一般而言，网页开发人员需要建构额外的安全工程工具或是程序，来保护应用程序免受常见漏洞影响，但是这类的基础设施通常开发与维护成本并不低。

随着网页平台不断的发展，网页平台需要内建更全面的安全机制，才能满足日益壮大的网页生态系，为此，主要浏览器开发组织合作，共同设计并在浏览器中部署几种重要的安全功能，以防御常见的网页漏洞，赋予网页应用程序具有抵御注入攻击的能力，并且有足够的隔离性，阻挡攻击者的恶意请求。

防御注入攻击

Google提到，混用程式码以及资料，是让网页平台产生注入漏洞的根本原因，在网页上，HTML标记像是 2020-07-23 19:48:00