本文发布自Mozilla安全博客
“
自Let's Encrypt推出以来,安全文本变得愈发成熟。我们亲眼目睹了现有安全限制的成功,以及保障文本安全的各种功能。W3C TAG将大幅针对新特性的不安全文本。现在,所有构建模块都可以加快HTTPS的采用和安全文本,并遵循我们的意图,放弃不安全的HTTP。
”
所有新功能都要求安全文本
现在,所有Web暴露下的新功能都将被限制在安全文本中。Web暴露意味着该特性可以通过网页或服务器观察到,无论是通过JavaScript,CSS,HTTP,媒体格式等。一个特性可以是现有的IDL定义的对象的扩展,新的CSS属性, 一个新的HTTP响应头,更大的功能,如WebVR。相比之下,新的CSS颜色关键字可能不会被限制在安全文本中。
在标准开发中要求安全文本
强烈建议参与标准开发的每个人都代表Mozilla提倡要求所有新功能的安全文本。 任何由此产生的复杂事件应该直接针对安全文本规范提出。
例外的情况
唯一的例外是给dev.platform邮件列表提供正当理由,由Mozilla的工程师来判断该提议是否能豁免,并确保dev.platform邮件列表获取通知。预计在下列情况下将被授予例外:
别家浏览器已经以不安全的方式发布了该功能
证明使用安全文本会将应用实现复杂化
安全文本及经典功能
从安全性,隐私性或用户体验角度来看,已经在不安全的环境中发布但是被认为比其他问题更加成问题的功能将根据具体情况进行考虑。
要使这些功能专门用于保护文本,应遵循适当删除功能的指导原则。
开发者工具和支持
要确定功能是否可用,开发人员可以依靠功能检测。 例如,通过在CSS中使用@supports at-rule。 我们建议通过self.isSecureContext API,因为它是一个更广泛适用的模式。
有关“安全文本”的具体解释和定义,请参考Mozilla文档。
领取专属 10元无门槛券
私享最新 技术干货