关于HTML5的安全问题开发人员需求紧记的_HTML5教程

修改Tag赚U币
教程Tag:HTML5安全增加

引荐:关于HTML5的22个初级技巧(图文教程)
HTML5来了.让咱们看一下有什么技巧

运用程序安全专家表明,HTML5给开发人员带来了新的安全应战。
  苹果公司与Adobe公司之间的口水战带来对HTML 5命运的许多猜想,虽然HTML 5的完成还有很长的路要走,但可以必定的一点是,运用HTML 5的开发人员将需求为运用程序安全开发生命周期布置新的安全功用以应对HTML5带来的安全应战。
  那么HTML5将会对咱们需求掩盖的进犯面带来怎样的影响?本文将讨论关于HTML 5几个重要安全问题。
  客户端存储
  前期版别的HTML仅答应网站将cookies作为本地信息存储,而这些空间相对较小,仅适用于存储简略的档案信息或许作为存储在其他方位的数据(例如会话ID)的标识符,Denim集团运用程序安全研讨部分的主管Dan Cornell表明。可是,HTML5 LocalStorage则答应浏览器本地存储许多据库,答应运用新类型运用程序。
  “随之而来的危险便是,敏感数据或许被存储在本地用户工作站,而物理拜访或许损坏该工作站的进犯者,就可以轻松取得敏感数据,”Cornell表明,“这关于运用同享计算机的用户愈加危险。”
  “从界说上来说,它真的仅仅可以在客户端体系存储信息,”Rapid7公司的安全研讨人员Josh Abraham表明,“那么你就具有根据客户端SQL注入进犯的潜在才能,或许或许你的某个客户端的数据库是歹意的,当与出产体系同步时,则或许呈现同步问题,或许客户端的潜在歹意数据将被刺进到出产体系。”
  为了处理这个问题,开发人员需求可以验证数据是否为歹意的,这其实是个很杂乱的问题。
  关于这个问题的重要性并不是所有人都附和。Veracode公司首席技能官Chris Wysopal表明,例如web运用程序经过运用插件或许浏览器扩展存储数据客户端就一向存在许多办法。
  “有许多已知的办法可以操控现在布置的HTML5 SessionStorage特点,可是规范终究确守时,这个问题才会处理,”Wysopal表明。
  跨域通讯
  而其他版别的HTML或许直答应JavaScript宣布XML HTTP恳求调用回本来的服务器,而HTML5放宽了这个约束,XML HTTP恳求可以发送给任何答应这种恳求的服务器。当然,假如服务器不行信赖的话,这也会带来严峻安全问题。
  “例如,我可以树立一个mashup(糅合,将两种以上运用公共或许私有数据库的web运用兼并构成一个整合运用)经过 JSON(Javascript Object Notation)将第三方网站的竞赛比分拉过来,”Cornell表明,“这个网站或许会发送歹意数据到我的用户浏览器正在运转的运用程序上。虽然 HTML5答应新类型的运用程序的树立,但假如开发人员在开始运用这些功用时,并不了解他们所树立的运用程序的安全含义,那么将会给用户带来很大安全危险。”
  关于依赖于PostMessage()来编写运用程序的开发人员而言,有必要仔细检查以保证信息是来历于他们自己的网站,不然来自其他网站的歹意代码或许会制造歹意信息,Wysopal弥补说。这个功用自身并不是安全的,开发人员现已开始运用不同的DOM(文档目标模型)/浏览器功用来仿效跨域通讯。
  另一个相关问题是,万维网联盟现在为跨源资源同享规划供给了一种运用相似与跨域机制绕过同源方针的办法。
  “IE布置的安全功用与Firefox、Chrome以及Safari都不相同,”他指出,“开发人员需求保证他们创立过于宽松拜访操控列表的损害,特别是由于某些参阅代码现在十分不安全。
  Iframe安全
  从安全视点来看,HTML5也有不错的功用,例如方案支撑iframe的沙盒特点。
  “这个特点将答应开发者挑选数据怎么解译的办法,”Wysopal表明,“不幸的是,与大部分HTML相同,这个规划很或许被开发人员误解,很或许由于不便于运用而被开发人员禁用。假如处理妥当,这个功用将可以协助抵挡歹意第三方广告或许避免不行信赖内容重放。”

同享:开发人员所需求知道的HTML5功能剖析面面观
以下这篇文章是由一位名为张拂晓的IT技能人员所写,其发表于InfoQ的网页上。这次他在全文里边从9个不同的方面剖析HTML5的功能,仍是很值得相应的开发人员阅览的。

来历:不知道//所属分类:HTML5教程/更新时刻:2013-04-22
相关HTML5教程