Chrome 136 发布：增强隐私保护，「远程调试」方式调整

Chrome 136 正式发布！这次更新不仅强化了安全性和隐私保护功能，还带来不少实用改进。我们一起来看看都有哪些亮点吧！

Chrome 136 版本信息

• 发布版本号：
  • Windows：136.0.7103.48
  • macOS：136.0.7103.49
  • Linux：136.0.7103.59
• 发布日期： 2025 年 4 月 29 日
• 系统兼容性： 支持 Windows 11、10（32 位和 64 位）、Linux 以及 macOS。

Chrome 136 主要更新

增强隐私保护

为了防止通过:visited CSS 伪类泄露浏览历史，Chrome 136 引入了更严格的防护机制：

• 以往，攻击者可以通过分析页面中「链接样式」的变化，来判断用户是否访问过某些网页。
• 现在，:visited伪类的判定被严格限定在当前站点内部。Chrome 通过将链接地址、顶级站点以及 iframe 主机进行哈希处理，来实现隔离。只有在同一网站或同一 iframe 中点击的链接，才会被标记为「已访问」。

举个例子：

• 你在站点 A 点击的链接，只会在站点 A 上被标记为「已访问」。
• 同源（same-origin）下的链接，无论是在不同页面还是子页面中，只要属于同一站点，访问后都能正确高亮显示。

Android 端新特性

• 从新版本开始，会将通过 Chrome「下载 APK 包」的遥测数据回传到 Google 服务器。 目前该功能仅用于记录数据。
• 未来将升级为：在开启浏览器的「增强型保护」功能后，遇到潜在恶意 APK 文件时，系统会主动发出警告，甚至自动拦截危险文件，进一步提升 Android 用户的下载安全性。

「远程调试」方式调整

• 为了防止「远程调试」被恶意软件滥用，从 Chrome 136 开始，要求远程调试会话必须使用单独的数据目录。当用户启用-remote-debugging-pipe或-remote-debugging-port参数时，必须同时指定-user-data-dir。也就是说，Windows、Linux、macOS 默认的数据目录将不再直接支持用来远程调试。
• 此外，远程调试目录会使用独立的加密密钥，确保不会影响到原有用户数据的安全。

访问密钥自动化优化

如果网站已经保存了访问凭证，而且用户之前也已授权，则在无需弹出提示框的情况下，即可自动生成访问密钥，极大简化用户体验。

CSS 与 Web 开发功能增强

• attr()函数中的string参数，已被重命名为raw-string，避免与其他写法如attr(foo type(<string>))相混淆。
• ProgressEvent API 的loaded和shared属性，现在使用 double 数据类型，与 HTML <progress>元素保持一致，带来更平滑的进度显示体验。
• 新增静态方法RegExp.escape，开发者可以更安全地转义字符串用于正则表达式，提高开发效率与代码安全性。
• 引入dynamic-range-limit属性，用于限制 HDR 内容的最大亮度，提升屏幕显示的细腻度和舒适度。
• Speculation Rules API 升级，<script type="speculationrules">标签现在支持可选的tag字段，用于源站追踪。该标签会通过Sec-Speculation-Tags HTTP 头一起发送，方便开发者进行更细致的流量与来源分析。

开发者工具升级

• 「性能」面板新增以下三类性能报告：
  • 检测使用旧版 HTTP/1.1 协议的请求。
  • 缓存命中效率分析。
  • 字体font-display优化建议。
• 在「隐私与安全」>「第三方 Cookie」页面中，现在支持直接通过名称搜索单个 Cookie，操作更加便捷。
• 实验性功能新增了对 DOM 元素及属性问题的识别功能，有效提升页面开发质量。

Chrome 136 安全修复

Chrome 136 一共修复了 8 个安全漏洞。所有问题都控制在沙盒范围内，没有出现沙盒逃逸或远程代码执行的风险。其中由外部研究人员贡献的重要修复包括：

• 高危 CVE-2025-4096：HTML 组件堆缓冲区溢出。
• 中危 CVE-2025-4050：DevTools 出现越界内存访问。
• 中危 CVE-2025-4051：DevTools 数据校验不充分。
• 低危 CVE-2025-4052：DevTools 内部实现不规范。