Considere este método simple que abre una nueva pestaña en JavaScript:
<!DOCTYPE html>
<html>
<body>
<p>Click the button to open a new browser window.</p>
<button onclick="myFunction()">Try it</button>
<script>
function myFunction() {
window.open("chrome://settings/");
}
</script>
</body>
</html>
Este método funciona bien con URL como https://www.google.com , pero ¿por qué no puedo abrir la página de configuración de Chrome?
Eso se debe a que la buena gente de Google ha decidido que permitir que cualquier página web aparezca en la página de configuración sería peligroso. Así que lo deshabilitaron para la seguridad de los usuarios.
Entonces, ¿qué podría hacer un chico malo con esto? Se podría usar principalmente para engañar a los visitantes de un sitio para cambiar la configuración de manera que beneficie al atacante, por ejemplo. reactivar complementos inseguros o de alguna manera reducir los niveles de seguridad. Es posible que el no experto ni siquiera entienda que está cambiando la configuración de los navegadores cuando están en una página que apareció de algún sitio web aleatorio.
Como comparación, hacer window.open("about:preferences"); desde Firefox solo te dará un error.
Y realmente, ¿cuál es el caso de uso legítimo para hacer esto? No veo ninguna razón para que los navegadores lo permitan.
Lea otras preguntas en las etiquetas web-browser javascript chrome