w3c – Gea-Suan Lin's BLOG

Home » Posts tagged "w3c"

HTML 5.2？

W3C 推出 HTML 5.2，新的 W3C Recommendation...

但網頁開發已經沒有人在管 W3C 的 HTML X.Y 了 (像是之前的 HTML 5.1)，大家都是直接翻資料查某個 feature 的支援度來決定能不能用，像是翻 Can I use... 或是翻 MDN。

就隨便看看吧... o_o

December 14, 2017 Gea-Suan LinComputer, Murmuring, Network, WWWNo Comment

EFF 因 DRM 退出 W3C

EFF 一直站在反對 DRM 的立場，這次 W3C 通過並公開 DRM 框架規格後，EFF 決定退出 W3C：「World Wide Web Consortium abandons consensus, standardizes DRM with 58.4% support, EFF resigns」。

不算太意外... EFF 對 DRM 的立場一直都很清楚，非常的清楚...

September 23, 2017 Gea-Suan LinComputer, Murmuring, Network, Recreation, Television, WWWNo Comment

StackOverflow 預設全上 HTTPS 了...

用 HTTPS Everywhere 沒什麼感覺，但對於一般人應該不簡單，所以 Nick Craver (根本就是他們家非正式的 PR Engineer XDD 他這幾年寫了不少內部的資訊...) 寫了一篇關於上 HTTPS 的故事：「HTTPS on Stack Overflow: The End of a Long Road」。

其中他們為了支援舊設備 (沒有支援 SNI 的)，決定直接把所有 wildcard 類的 SSL certificate 都包進去 (另外找 DigiCert 處理)：

然後中間提到這個真的頗無奈的，抱怨 SVG 的 XML... XDDD：

Finding and killing these was a little fun because you can’t just search for "http://". Thank you so much W3C for gems like this:
<svg xmlns="http://www.w3.org/2000/svg"...

一條辛苦路 XD

May 24, 2017 Gea-Suan LinComputer, Murmuring, Network, Security, WWWNo Comment

HTTPS 因為安全性而不能使用 Referrer 的問題

在 Nuzzel 上看到老文章在討論 HTTPS 環境下因為安全性考量，而不能帶出 Referrer 的問題：「Where did all the HTTP referrers go?」。

原文中「Fixing Referrers in HTTPS: The Meta Referrer」這邊就有提到 HTML5 meta referrer，也就是 W3C 的「Referrer Policy」，問題是到現在還是 Draft 啊...

也因為過了三年，其實 draft 裡面多了不少參數可以用：

~~never~~ 或 no-referrer 表示不傳。
origin 表示只傳 protocol + host 的部份，後面 path 的部份不要傳。
~~default~~ 或 no-referrer-when-downgrade 表示當 downgrade 時 (HTTP request 的部份) 不要傳。
origin-when-cross-origin 表示當跨站時用 origin 的邏輯，但本站還是用完整的路徑。
~~always~~ 或是 unsafe-url 則是永遠都傳。

其中刪節號表示 W3C 不建議再使用，應該用後者比較新的。

不過因為在 Can I use 上面可以看到 Microsoft Edge 只支援舊的關鍵字 (也就是刪節號的那些)，所以還是可以考慮先用舊的關鍵字，讓 Microsoft Edge 也可以被保護到：「Referrer Policy」。

February 22, 2016 Gea-Suan LinBrowser, Computer, Murmuring, Network, Security, Software, WWWNo Comment

Subresource Integrity

GitHub Engineering 的「Subresource Integrity」這篇提到了新的 W3C 提案「Subresource Integrity」。

其實就是要做這件事情：

<script src="https://example.com/example-framework.js"
        integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="
        crossorigin="anonymous"></script>

可以確保 CDN 被攻陷時還有一定程度的抵抗力。在 MDN 上的「Subresource Integrity」也可以參考。

目前 Google Chrome 45+ (stable 版) 與 Firefox 43 (目前是 Nightly 版) 有支援。