4

根据原始提案,关于“为强大的新功能首选安全来源”

“特别强大”指的是:处理个人身份信息的功能、处理凭证或支付工具等高价值信息的功能、为来源提供对 UA 的可信赖/本机 UI 的控制权、访问用户的设备,或者通常是我们将提供用户可设置权限或特权的任何功能。请讨论!

“特别强大”并不意味着:新的渲染和布局特性、CSS 选择器、无害的 JavaScript API(如 showModalDialog 等)。我预计 HTML5 中的大部分新作品都属于这一类。请讨论!

然而,出于某种原因,服务人员被归为第一类。发生这种情况是否有任何规范的原因?

4

2 回答 2

6

来自 Google 的 Jake Archibald 在官方 Service Workers 草稿规范沙箱中,后来被 HTML5rocks 的 Matt Gaunt引用,指出

使用 service worker,您可以劫持连接、制造和过滤响应。强大的东西。虽然你会永远使用这些权力,但中间人可能不会。为避免这种情况,您只能在通过 HTTPS 提供的页面上注册 Service Worker,因此我们知道浏览器接收到的 Service Worker 在其通过网络的过程中没有被篡改。

于 2015-05-26T09:19:25.207 回答
0

对我来说,这适用于 ServiceWorker:

处理个人身份信息的功能,处理凭证或支付工具等高价值信息的功能

作为页面和服务器之间的代理,ServiceWorker 可以轻松拦截、读取并可能存储包含在来自源的每个请求和响应中的每个信息,包括个人身份信息和密码。

于 2015-05-24T08:08:02.330 回答