Firefox 3.5 中的安全更改

为了防止远程内容被用作 Chrome，修复了一个安全漏洞。这可能会影响任何在其 chrome.manifest 文件中包含引用 Web 上文件的资源的附加组件。

修复此错误是通过在 nsIProtocolHandler 接口中添加一个新的 URI_IS_LOCAL_RESOURCE 标志来实现的，该标志指示该协议可以安全地注册为 Chrome。任何创建自己的协议处理程序并尝试将其注册到 chrome.manifest 文件中的附加组件都必须使用此标志才能正常工作。

Firefox 3.5 实施了私密浏览，在这种模式下，cookie、历史记录和其他可能包含私人信息的资料不会永久保存到用户的计算机上。扩展和其他附加组件可能支持私密浏览功能，检测到私密浏览功能正在使用时，它们可以避免在私密浏览模式启用时保存私人信息。有关详细信息，请参阅 支持私密浏览模式。

插件可以通过使用 NPN_GetValue() 函数检查 NPNVprivateModeBool 变量的当前值来检测私密浏览模式是否处于活动状态。

在 Firefox 3 的早期版本中，SSL 证书错误会导致在浏览器窗口中显示标准网络错误页面 about:neterror。从 Firefox 3.5 开始，将显示一个新的错误页面 about:certerror。错误 URL 的格式如下

about:certerror?e=error&u=url&d=desc

需要提供自定义证书错误页面的嵌入程序现在可以通过提供他们自己的 about: 页面实现，并将 security.alternate_certificate_error_page 首选项设置为适当的页面名称（例如 "certerror）来实现。

• 面向开发人员的 Firefox 3.5