Firefox 3.5 中的安全更改
本文档涵盖了 Firefox 3.5 中与安全相关的更改。
对 chrome 注册的更改
已修复一个安全漏洞,以防止远程内容被用作 chrome。这可能会影响任何在其 chrome.manifest 文件中包含引用 Web 文件资源的附加组件。
通过向 nsIProtocolHandler 接口添加一个新的 URI_IS_LOCAL_RESOURCE 标志来修复此 bug,该标志指示协议可以安全地注册为 chrome。任何创建自己的协议处理程序并尝试在 chrome.manifest 文件中注册它的附加组件,都必须使用此标志才能正常工作。
隐私浏览
Firefox 3.5 实现了隐私浏览模式,在这种模式下,Cookie、历史记录和其他潜在的私人信息不会永久保存在用户的计算机上。扩展和其他附加组件可以支持隐私浏览功能,检测何时正在使用它,以便在隐私浏览模式启用时避免保存私人信息。有关详细信息,请参阅 支持隐私浏览模式。
插件可以使用 NPN_GetValue() 函数检查 NPNVprivateModeBool 变量的当前值,从而检测是否处于隐私浏览模式。
新的证书错误处理
在 Firefox 3 的早期版本中,SSL 证书错误会导致在浏览器窗口中显示标准的网络错误页面 about:neterror。从 Firefox 3.5 开始,将显示一个新的错误页面 about:certerror。错误 URL 的格式如下:
about:certerror?e=error&u=url&d=desc
需要提供自定义证书错误页面的嵌入者现在可以通过提供自己的 about: 页面实现来做到这一点,并将 security.alternate_certificate_error_page 首选项设置为相应的页面名称(例如 "certerror")。