在html5迅速崛起的同時,我們也不得不認識到html5給我們帶來的安全問題,而且是不容小覷的安全問題。本文主要從劫持、跨域請求、桌面通知、地理定位、表單篡改這幾個方面來分析了html5中不容忽視的幾個安全「漏洞」,開發者要時刻警惕。
「雖然,html5對加強**互動性的新功能有著一定的作用和貢獻,但是對於不懷好意者,html5的「漏洞」更容易成為他們的攻擊目標。」
因此,本文會從五個方面介紹html5易被攻擊的方向,希望廣大應用開發者能夠在使用html5的同時注意這些「漏洞」並加以防範。
1、點選劫持變的更加容易:點選劫持本身不是種新的攻擊,這種攻擊的目的是竊取受害者的滑鼠按鈕點選,然後將點選定向到攻擊者所指定的其他頁面。攻擊者的目的是讓使用者在不知情的情況下點選隱藏的鏈結。目前,對於點選劫持最好的伺服器端防禦措施之一是被稱為framekilling的技術。本質上來說,受到影響的**可以利用j**ascript來驗證自己是否在乙個iframe中執行,如果是的話,就拒絕顯示頁面內容。這種技術已經被在用在facebook、gmail和其他一些**中。但是html5在iframe中增加了乙個新的沙盒屬性,該屬性會讓**停止執行j**ascript指令碼。在大多數情況 下,這其實是比較安全的做法,但也存在缺點,就是會抵消目前對點選劫持最好的防禦措施。
2、利用跨域請求或websockets的埠掃瞄:有了html5,瀏覽器現在可以連到任何ip位址或**的(幾乎)任何埠。雖然除非目標**有特別的允許,不然並不能接收到來自任意埠連線的回應,但是研究人員表示,這類請求所花的時間可以用來判斷目標埠是開啟的還是關閉的。因此攻擊者就可以直接利用瀏覽器對受害者的內部網路進行埠掃瞄。
3、利用桌面通知做社會工程學攻擊:html5有乙個新功能——桌面通知。這些出現在瀏覽器之外的彈出視窗,其實是可以用html程式**進行定製的。雖然這種功能帶來了很不錯的互動方式,但也可能導致社會工程學攻擊,例如網路釣魚或者假冒防毒軟體等。
4、利用地理定位追蹤受害者:地理定位是html5新功能中最受注目的乙個。因為安全和隱私的考慮,**必須先得到使用者的批准,隨後才能獲得位置訊息。然而就和以前出現過的其他功能一樣,例如vista的使用者帳戶控制,android的應用程式許可權,還有無效的https憑證等,這些需要使用者作決定的安全措施幾乎沒有任何效果。而一旦有了授權,**不僅可以知道受害者的位置,而且還可以在使用者移動時對其進行實時追蹤。
5、表單篡改:另乙個新功能讓攻擊者可以在被注入j**ascript的**(例如xss攻擊)中更改該網頁上的表單行為。舉例來說,攻擊者可以改變乙個網路商店的正常行為,不是將內容送到購買或是登入頁面,而是將使用者的身分認證資訊傳送到攻擊者自己的**。
以上5點html5漏洞對於開發者來說是比較致命的,所以我們在開發html5程式時要非常小心。儘管html5有這些安全問題,但我堅信html5依然是web的未來
HTML5被廢棄的標籤
一 為什麼html中有一部分標籤被廢棄了 因為當時html標籤只有新增語義這乙個作用,而早起的html標籤中有一部分標籤是沒有語義的,是用來修改樣式的,所以這部分標籤就被淘汰了。例如 等。這些被淘汰的標籤基本不使用,一般用於css的鉤子 strong替代b標籤 定義強調文字的重要性 ins替代u標籤...
HTML5的5個的新特性
特性1 正規表示式 無須使用服務端的檢測,使用瀏覽器的本地功能,就可以幫助你判斷郵箱的格式,url,防止使用者輸入錯誤的資訊,通過h5的pattern屬性,很方便的整合這個功能。特性2 資料列表元素 在h5沒有出現之前,我們會選擇js或者jquery ui來實現自動補全功能,而在h5中,可以直接使用...
HTML5的學習(二)HTML5標籤
3.按功能排列標籤 標籤 描述 html4 html5 定義注釋。定義文件型別。定義文件的主體。定義文件中的節。定義section或page的頁尾。to定義html標題。定義html文件。定義關於文件的資訊。定義section或page的頁首。定義關於html文件的元資訊。定義針對不支援客戶端指令碼...