Firefox 3.5 中的安全更改
本文件涵蓋了 Firefox 3.5 中與安全相關的更改。
對 chrome 註冊的更改
已修復一個安全漏洞,以防止遠端內容被用作 chrome。這可能會影響任何在其 chrome.manifest 檔案中包含引用 Web 檔案資源的附加元件。
透過向 nsIProtocolHandler 介面新增一個新的 URI_IS_LOCAL_RESOURCE 標誌來修復此 bug,該標誌指示協議可以安全地註冊為 chrome。任何建立自己的協議處理程式並嘗試在 chrome.manifest 檔案中註冊它的附加元件,都必須使用此標誌才能正常工作。
隱私瀏覽
Firefox 3.5 實現了隱私瀏覽模式,在這種模式下,Cookie、歷史記錄和其他潛在的私人資訊不會永久儲存在使用者的計算機上。擴充套件和其他附加元件可以支援隱私瀏覽功能,檢測何時正在使用它,以便在隱私瀏覽模式啟用時避免儲存私人資訊。有關詳細資訊,請參閱 支援隱私瀏覽模式。
外掛可以使用 NPN_GetValue() 函式檢查 NPNVprivateModeBool 變數的當前值,從而檢測是否處於隱私瀏覽模式。
新的證書錯誤處理
在 Firefox 3 的早期版本中,SSL 證書錯誤會導致在瀏覽器視窗中顯示標準的網路錯誤頁面 about:neterror。從 Firefox 3.5 開始,將顯示一個新的錯誤頁面 about:certerror。錯誤 URL 的格式如下:
about:certerror?e=error&u=url&d=desc
需要提供自定義證書錯誤頁面的嵌入者現在可以透過提供自己的 about: 頁面實現來做到這一點,並將 security.alternate_certificate_error_page 首選項設定為相應的頁面名稱(例如 "certerror")。