Google heeft besloten om het verwijderen van waarschuwingsvensters in browsers en andere meldingen afkomstig van cross-origin iframes in Chrome tijdelijk terug te draaien. Dat doet het na een browserupdate die tot klachten van ontwikkelaars leidde, evenals kapotte websites en webapps.
Zoals The Register aanhaalt in een bericht, is een iframe (kort voor Inline Frame) een portie van een webpagina dat in een andere webpagina verwerkt zit. Als een iframe bronnen van een andere origine of domein bevat, vormt dat een zogenaamde cross-origin iframe.
Het Chromium-team is al sinds maart 2020 bezig met het beperken van de mogelijkheden van cross-origin iframes. Deze kunnen immers mogelijk een grote bedreiging vormen voor de veiligheid. Ze stellen een embedded bron, zoals een advertentie, namelijk in staat om een melding in Chrome te tonen die eruit ziet alsof deze van de originele website afkomstig is.
- Beste browsers van 2021
- Beste VPN-diensten van 2021
- Google Meet beperkt duur vergaderingen voor gratis gebruikers
In een Intent to Remove-bericht dat vorig jaar in een Google Group verscheen, legt een ingenieur van Google uit hoe cross-origin iframes tot spoofs kunnen leiden:
"De huidige gebruikservaring is verwarrend en heeft eerder tot spoofs geleid waar websites je deden geloven dat de boodschappen van Chrome of andere websites afkomstig waren. Door de ondersteuning te verwijderen voor de mogelijkheid van cross-origin iframes om de UI te triggeren, voorkomen we dit soort spoofing, maar deblokkeren we ook verdere pogingen om de dialoog herkenbaarder te maken als onderdeel van de website in plaats van de browser."
Een verandering met goede intenties
Ook al was de beslissing van Google om de browser-meldingen uit Chrome te verwijderen goed bedoeld, de implementatie ervan zorgde toch voor de nodige kopzorgen bij ontwikkelaars.
Om spoofing te voorkomen, heeft de zoekgigant JavaScript-code in cross-origin iframes uitgeschakeld, waardoor er geen meldingen en confirmatiemethoden in het browservenster te zien zijn. Helaas hebben webontwikkelaars deze soms nodig om dialoogvensters te tonen. Deze aanpassing brak zoveel webapps en zorgde ervoor dat veel ontwikkelaars met hun handen in het haar zaten. Google besloot hierop om het tijdelijk terug te draaien. Het bedrijf is echter nog steeds van plan om deze meldingsmechanismen volledig te verwijderen van zowel same-origin als cross-origin contexten, zodat ze niet meer kunnen worden misbruikt.
Bij de release van Chrome 92.0.4515.107 begin deze maand werden window.alert, window.prompt en window.confirm uitgeschakeld bij cross-origin iframes. Deze aanpassing leidde tot veel problemen bij allerlei applicaties die de cross-origin iframes gebruiken om meldingen, notificaties en bevestigingsvensters te tonen aan hun gebruikers.
Om ontwikkelaars meer tijd te geven om hun apps en websites bij te werken heeft Chrome de uitschakeling nu verzet naar 15 augustus.
Via The Register
