Intent to Deprecate and Remove XSLT
7 months ago
- #XSLT
- #Chromium
- #Security
- XSLT 1.0标准于1999年制定,现已过时,被基于JavaScript的技术(如JSON+React)取代。
- Chromium使用的libxslt库已无人维护,由于内存安全漏洞存在重大安全风险。
- 客户端XSLT已成为小众技术,使用指标极低(XSLTProcessor API使用率0.01%-0.1%,声明式XSL仅0.001%)。
- Chromium计划逐步弃用并移除XSLT,具体时间表从M143版本(弃用)持续至M164版本(完全移除)。
- 已提供polyfill方案缓解影响,通过单行代码修复即可恢复约75%受影响站点的功能。
- 移除XSLT的安全收益大于兼容性风险,此举将消除一个易受攻击的入口面。
- 其他浏览器引擎(Gecko、WebKit)也支持弃用XSLT,但部分网页开发者反对移除。
- 移除计划包含早期预警、原始试用和企业策略等多阶段过渡措施。