Google Chrome 51 与交叉观察者和证书管理等 API 一起更新

  • James Chesters
  • 薛梦迪

2016 年 6 月 16 日

话题:JavaScriptGoogleChrome语言 & 开发

Google发布了 Chrome 51,带来了交叉观察者、被动事件监听和证书管理的 API,并且修复了很多安全性上的问题。

关于 51 稳定发布版中新添加的功能,Google 的软件工程师Alexander Surma简单描述了交叉观察者 API,说道:“IntersectionObservers能使你知道一个观察的元素进入或退出了浏览器窗口。”

对于开发者们来说,这特别地解决了观察的痛点:需要追踪元素,但是传统的调用getBoundingClientRect()的方式,用 Surma 的话来说,“慢得令人痛苦”。

Surma 提供了下面的例子来说明:

var io = new IntersectionObserver(
	entries => {
		console.log(entries);
	},
	{
		/* Using default options. Details below */
	}
);
// Start observing an element
io.observe(element);

// Stop observing an element
// io.unobserve(element);

// Disable entire IntersectionObserver
// io.disconnect();

“使用IntersectionObserver中默认的设置,你的回调函数会在元素部分进入视图中和完全离开窗口时被调用”,Surma 说道。

但是,Surma 说这往往还不够,所以阈值选项允许开发者们定义intersectionRatio的阈值。您可以通过访问https://developers.google.com/web/updates/2016/04/intersectionobserver网址来查看更多有关IntersectionObservers的信息。

在最新的稳定发布中,对证书管理 API的支持也是新的特性。这允许开发者们存储并取回密码证书和联合证书,其中提供了 3 个功能:

  • navigator.credentials.get():获取用户的证书,并初始化一个登录流
  • navigator.credentials.store():在证书管理器中存储证书
  • navigator.credentials.requireUserMediation():禁用自动登录

在“使用证书管理 API 简化登录流”的博客中,开发大使Eiji Kitamura认为 API 可以使用户只使用一个点击就能够登录、记住用户曾经登录使用过的联合帐户并且在会话过期后负责将用户跳转至登录界面。

在 Chrome 的实现中,证书会被存储在 Chrome 的密码管理器中。如果用户登录了 Chrome,他们就可以在设备间同步用户密码。那些同步的密码还可以和集成了无缝的跨平台体验的 Smart

Lock for Passwords API 的安卓应用共享。

Kitamura 说,在网页中使用证书管理 API 会根据架构而有变化,并且几乎不可能在一个博客文章中解释清楚所有可能的情况,即使他只考虑一个典型的单页应用。此 API 的一个 demo 可以在这里查看,您也可以访问https://developers.google.com/web/updates/2016/04/credential-management-api来查看 API 的全部详细信息。

Kitamura 还回答了有关证书管理的 FAQ,如下:

网页上的 JavaScript 有没有可能取回原密码?

不可能。你只可以将密码作为PasswordCredential的一部分取回,它不会通过任何方式暴露。

一个 id 能不能使用证书管理 API 存储三组数字?

现在还不行。您有关这个功能的反馈我们会高度关注的。

我可以在一个 iframe 中使用证书管理 API 吗?

这个 API 限制于最高层面的环境。在一个 iframe 中调用.get().store()将会立即执行而没有影响。

我可以将我自己的密码管理 Chrome 插件和证书管理 API 集成起来吗?

你也许需要重写navigator.credentials并且将其与你的 Chrome 插件连接起来,来get()store()证书。

据 Google 的 QA 工程师 Krishna Govind 在稳定版本更新中说,Chrome 的 51 发布版还“包含了许多修改和改进”。在 42 个独立的安全性问题修补中,9 个被列为“高”风险,其中包括了绕行连接至跨源的安全问题(问题CVE-2016-1672CVE-2016-1676)。

Google 的开发大使 Pete LePage 给出了此发布版本的概述,您可以在这里查看:https://youtu.be/LXbtIeHIQJA

查看英文原文Google Chrome 51 Arrives with Intersection Observers, and Credential Management APIs


感谢夏雪对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

JavaScriptGoogleChrome语言 & 开发