Considerare questo semplice metodo che apre una nuova scheda in JavaScript:
<!DOCTYPE html>
<html>
<body>
<p>Click the button to open a new browser window.</p>
<button onclick="myFunction()">Try it</button>
<script>
function myFunction() {
window.open("chrome://settings/");
}
</script>
</body>
</html>
Questo metodo funziona bene con URL come https://www.google.com , ma perché non posso aprire la pagina delle impostazioni di Chrome?
Ecco perché la brava gente di Google ha deciso che lasciare che qualsiasi pagina Web compaia nella pagina delle impostazioni sarebbe pericolosa. Quindi l'hanno disabilitato per la sicurezza degli utenti.
Quindi cosa potrebbe fare un cattivo? Potrebbe essere utilizzato principalmente per indurre i visitatori di un sito a modificare le impostazioni in un modo che potrebbe avvantaggiare l'autore dell'attacco, ad es. riattivare plug-in non sicuri o in qualche modo ridurre i livelli di sicurezza. Il non esperto potrebbe non capire nemmeno che stanno cambiando le impostazioni del browser quando si trovano su una pagina che è spuntata da qualche sito web casuale.
Come confronto, fare window.open("about:preferences"); da Firefox ti darà solo un errore.
E in realtà, qual è il caso d'uso legittimo per farlo? Non vedo ragioni per consentire ai browser di consentirlo.
Leggi altre domande sui tag javascript web-browser chrome