浏览器引擎-Chromium
2011-03-09 09:35:55 
阿炯
Chromium是一个由Google主导开发的网页浏览器,以BSD许可证等多重自由版权发布并开放源代码。其开发可能早自2006年即开始,设计思想基于简单、高速、稳定、安全等理念,在架构上使用了苹果发展出来的WebKit排版引擎、Safari的部份源代码与Firefox的成果,并采用Google独家开发出的V8引擎以提升解译JavaScript的效率,而且设计了“沙盒”、“黑名单”、“无痕浏览”等功能来实现稳定与安全的网页浏览环境。
Chromium是Google为发展自家的浏览器Google Chrome而打开的计划,可以认为它相当于Chrome的工程版或称实验版(尽管Chrome自身也有β版阶段),新功能会率先在Chromium上实现,待验证通过且稳定后才会应用在Chrome上,故Chrome的功能会相对落后但较稳定。
Chromium的更新速度很快,每隔数小时即有新的开发版本发布,而且可以免安装,下载zip封装版后解压缩即可使用(Windows下也有安装版)。Chrome虽然理论上也可以免安装,但Google仅提供安装版。
Google Chrome是基于Chromium,但包含非开放源代码包,主要是多媒体相关。
与Google Chrome不相同的地方:
多集成了Flash Player(目前Google Chrome也自带集成了Flash Player)。
增加自带的PDF阅读器(目前此项目也自带集成至Google Chrome)。
拥有不同的名称和色彩更丰富的图标,Chromium的是天蓝色系(),而Chrome的则是Google的代表色()。
增加了一个叫GoogleUpdate的自动更新系统,Chromium不开放自动更新功能,所以无法自动更新,而Chrome则可自动连上Google的服务器更新,但新版的推出很慢。
增加了一个是否向Google发送使用统计信息和崩溃报告的可选项。
当Chrome用作市场推广及分销合作伙伴时会记录并发送用户信息,如何时何处下载的信息。
默认情况下,Chromium的HTML5视频和音频解码器只支持Vorbis、Theora和WebM,而Chrome除了这些解码器外还支持AAC和MP3解码器。2011年1月,Chrome的宣布其HTML5播放器将和Chromium一样,不再支持H.264视频格式;但截至2012年4月,Chrome仍然支持H.264。有些Linux发布版本会向自定版Chromium增加对其他编解码器的支持。
miniblink 是一个开源、单文件、且目前已知最小的基于 Chromium 的浏览器控件;通过其导出的纯 C 接口,几行代码即可创建一个浏览器控件。其作者宣布于2023年8月上旬成功编译出 v108 release 版本,文件大小 43M,体积差不多是其老版本的两倍(老版本 27M),不过仍然比 Chromium 108 接近 200M 的体积小得多。作者还称目前网络和显示绘制到窗口等功能都没接入,下一步计划是能显示一个简单的本地 HTML+CSS。特性如下:
极致小巧的体积
C++,C#,Delphi 等语言调用
内嵌 Node.js,支持 electron
随心所欲的定制功能、模拟环境
支持 Windows xp、npapi
完善的 HTML5 支持,对各种前端库友好
关闭跨域开关后,可以使用各种跨域功能
网络资源拦截,替换任意网站任意 js 为本地文件
headless 模式,极大节省资源,适用于爬虫
谷歌和 Linux 基金会启动支持基于 Chromium 的开源浏览器
谷歌和 Linux 基金会在2025年1月宣布合作成立 “Supporters of Chromium-based Browsers” 基金,旨在营造一个可持续发展的开源贡献环境,促进 Chromium 生态系统的健康发展,并为希望为该项目做出贡献的开发者社区提供资金支持。Chromium 项目在 2008 年由谷歌推出,至今已被全球数百个不同的项目所使用;2024 年,谷歌方面向 Chromium 提交了超过 100,000 份代码,占总贡献的约 94%。
根据介绍,Supporters of Chromium-Based Browsers 将提供一个中立的空间,让开发人员和更广泛的开源社区能够合作支持 Chromium 生态系统内的项目。“通过促进协作,该集体的目标是消除创新障碍,扩大采用范围,并确保 Chromium 生态系统内的项目获得蓬勃发展所需的资源。”该基金遵循开放治理模式,将优先考虑透明度、包容性和社区驱动的发展。其计划成立一个技术咨询委员会 (TAC) 来指导发展,以确保可以满足更广泛的 Chromium 社区的需求。该基金将由 Linux 基金会管理,Chromium 项目本身将继续遵循现有的治理结构。目前,Meta、Microsoft 和 Opera 已经成为首批承诺支持这一计划的成,他们将共同为基于 Chromium 的浏览器相关的开源项目提供关键的资金和开发支持。
因 V8 引擎类型混淆引起的缺陷导致的零日漏洞正在被利用
Google 于2026年5月中旬发布紧急安全更新,修复了一个在野 Chromium 零日漏洞。安全研究人员警告,该漏洞已被用于攻击 Chrome 浏览器用户,全球受影响设备数以亿计。据安全研究社区披露,该漏洞编号为 CVE-2025-10585,是一个存在于 V8 JavaScript 引擎中的严重类型混淆错误。攻击者可通过精心构造的恶意网页触发该漏洞,从而在受害者浏览器中执行任意代码。这意味着用户只需访问一个被植入恶意代码的网站,其设备就可能被完全接管。
Google 安全团队在更新公告中表示,包括 Chrome for Desktop 在内的大部分主流平台已推送修复版本。但值得注意的是,Google 同时发布了该漏洞的利用代码 —— 这一做法在安全社区引发争议。支持者认为,透明化有助于推动整个生态系统加强防御;批评者则指出,即便是出于好心公开发布,代码一旦公开就无法收回,恶意利用者完全可能据此构建攻击工具。根据 Google 威胁分析小组的观察,相关攻击活动已进入活跃状态。攻击者通过水坑式攻击(watering hole attack)锁定特定目标群体,即那些访问特定被黑网站的用户。这种攻击方式的优势在于攻击者无需诱导用户点击任何链接,仅需用户正常浏览网页即可完成入侵。
所有 Chrome 用户应立即检查浏览器版本并更新至最新版本。用户可点击右上角菜单 → 帮助 → 关于 Chrome,浏览器将自动检测并安装更新。考虑到该漏洞已被公开利用,建议用户在完成更新后重新启动浏览器以确保补丁生效。对于企业和组织而言,除了确保终端用户完成更新外,还应检查网络边界设备是否有针对此类攻击的检测规则。安全团队可关注 Google Security Blog 和 Chrome Releases 博客获取最新漏洞情报和补丁信息。
参考来源:
Ars Technica
The Hacker News
最新版本:108.0
项目主页:http://dev.chromium.org/