关于HTML5的安全问题开发人员需要牢记的


Posted in HTML / CSS onJune 21, 2012

应用程序安全专家表示,HTML5给开发人员带来了新的安全挑战。

苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸多猜测,尽管HTML 5的实现还有很长的路要走,但可以肯定的一点是,运用HTML 5的开发人员将需要为应用程序安全开发生命周期部署新的安全功能以应对HTML5带来的安全挑战。

那么HTML5将会对我们需要覆盖的攻击面带来怎样的影响?本文将探讨关于HTML 5几个重要安全问题。

客户端存储

早期版本的HTML仅允许网站将cookies作为本地信息存储,而这些空间相对较小,仅适用于存储简单的档案信息或者作为存储在其他位置的数据(例如会话ID)的标识符,Denim集团应用程序安全研究部门的主管Dan Cornell表示。然而,HTML5 LocalStorage则允许浏览器本地存储大量据库,允许使用新类型应用程序。

“随之而来的风险就是,敏感数据可能被存储在本地用户工作站,而物理访问或者破坏该工作站的攻击者,就能够轻松获得敏感数据,”Cornell表示,“这对于使用共享计算机的用户更加危险。”

“从定义上来说,它真的只是能够在客户端系统存储信息,”Rapid7公司的安全研究人员Josh Abraham表示,“那么你就具备基于客户端SQL注入攻击的潜在能力,或者可能你的某个客户端的数据库是恶意的,当与生产系统同步时,则可能出现同步问题,或者客户端的潜在恶意数据将被插入到生产系统。”

为了解决这个问题,开发人员需要能够验证数据是否为恶意的,这其实是个很复杂的问题。

对于这个问题的重要性并不是所有人都赞同。Veracode公司首席技术官Chris Wysopal表示,例如web应用程序通过使用插件或者浏览器扩展存储数据客户端就一直存在很多方法。

“有很多已知的方法可以操控目前部署的HTML5 SessionStorage属性,但是标准最终确定时,这个问题才会解决,”Wysopal表示。

跨域通信

而其他版本的HTML可能直允许JavaScript发出XML HTTP请求调用回原来的服务器,而HTML5放宽了这个限制,XML HTTP请求可以发送给任何允许这种请求的服务器。当然,如果服务器不可信任的话,这也会带来严重安全问题。

“例如,我可以建立一个mashup(糅合,将两种以上使用公共或者私有数据库的web应用合并形成一个整合应用)通过 JSON(Javascript Object Notation)将第三方网站的比赛比分拉过来,”Cornell表示,“这个网站可能会发送恶意数据到我的用户浏览器正在运行的应用程序上。虽说 HTML5允许新类型的应用程序的建立,但如果开发人员在开始使用这些功能时,并不理解他们所建立的应用程序的安全意义,那么将会给用户带来很大安全风险。”

对于依赖于PostMessage()来编写应用程序的开发人员而言,必须仔细检查以确保信息是来源于他们自己的网站,否则来自其他网站的恶意代码可能会制造恶意信息,Wysopal补充说。这个功能本身并不是安全的,开发人员已经开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通讯。

另一个相关问题是,万维网联盟目前为跨源资源共享设计提供了一种使用类似与跨域机制绕过同源政策的方法。

“IE部署的安全功能与Firefox、Chrome以及Safari都不相同,”他指出,“开发人员需要确保他们创建过于宽松访问控制列表的危害,特别是因为某些参考代码目前非常不安全。

Iframe安全

从安全角度来看,HTML5也有不错的功能,例如计划支持iframe的沙盒属性。

“这个属性将允许开发者选择数据如何解译的方式,”Wysopal表示,“不幸的是,与大部分HTML一样,这个设计很可能被开发人员误解,很可能因为不便于使用而被开发人员禁用。如果处理得当,这个功能将能够帮助抵御恶意第三方广告或者防止不可信任内容重放。”

HTML / CSS 相关文章推荐
使用CSS3实现字体颜色渐变的实现
Mar 09 HTML / CSS
纯CSS3编写的的精美动画进度条(无flash/无图像/无脚本/附源码)
Jan 07 HTML / CSS
CSS3 Flex 弹性布局实例代码详解
Nov 01 HTML / CSS
详解css3中 text-fill-color属性
Jul 08 HTML / CSS
css3实现二维码扫描特效的示例
Oct 29 HTML / CSS
Html5内唤醒百度、高德APP的实现示例
May 20 HTML / CSS
一款利用html5和css3动画排列人物头像的实例演示
Dec 05 HTML / CSS
详解HTML5中的拖放事件(Drag 和 drop)
Nov 14 HTML / CSS
浅谈HTML5 服务器推送事件(Server-sent Events)
Aug 01 HTML / CSS
H5混合开发app如何升级的方法
Jan 10 HTML / CSS
html5的input的required使用中遇到的问题及解决方法
Apr 24 HTML / CSS
Html+Css+Jquery实现左侧滑动拉伸导航菜单栏的示例代码
Mar 17 HTML / CSS
HTML5 对各个标签的定义与规定:body的介绍
Jun 21 #HTML / CSS
网易微博Web App用HTML5开发的过程介绍
Jun 13 #HTML / CSS
只要五步 就可以用HTML5/CSS3快速制作便签贴特效(图)
Jun 04 #HTML / CSS
关于HTML5你必须知道的28个新特性,新技巧以及新技术
May 28 #HTML / CSS
HTML5的标签的代码的简单介绍 HTML5标签的简介
May 28 #HTML / CSS
html5 兼容IE6结构的实现代码
May 14 #HTML / CSS
html5 Canvas绘制线条 closePath()实例代码
May 10 #HTML / CSS
You might like
深入理解PHP原理之异常机制
2010/08/21 PHP
php模拟asp中的XmlHttpRequest实现http请求的代码
2011/03/24 PHP
如何判断php数组的维度
2013/06/10 PHP
php批量添加数据与批量更新数据的实现方法
2014/12/16 PHP
载入进度条 效果
2006/07/08 Javascript
Nodejs实现的一个简单udp广播服务器、客户端
2014/09/25 NodeJs
js判断浏览器版本以及浏览器内核的方法
2015/01/20 Javascript
js实现当复选框选择匿名登录时隐藏登录框效果
2015/08/14 Javascript
jQuery实现的个性化返回底部与返回顶部特效代码
2015/10/30 Javascript
实现微信小程序的wxml文件和wxss文件在webstrom的支持
2017/06/12 Javascript
浅谈Vue初学之props的驼峰命名
2018/07/19 Javascript
详解Vue2.5+迁移至Typescript指南
2019/08/01 Javascript
element-ui如何防止重复提交的方法步骤
2019/12/09 Javascript
Js视频播放器插件Video.js使用方法详解
2020/02/04 Javascript
Vue实现腾讯云点播视频上传功能的实现代码
2020/08/17 Javascript
[39:07]LGD vs VP 2018国际邀请赛淘汰赛BO3 第二场 8.21
2018/08/22 DOTA
[40:04]Secret vs Infamous 2019国际邀请赛淘汰赛 败者组 BO3 第二场 8.23
2019/09/05 DOTA
跟老齐学Python之大话题小函数(1)
2014/10/10 Python
python3.5实现socket通讯示例(TCP)
2017/02/07 Python
基于python代码实现简易滤除数字的方法
2018/07/17 Python
python自动化生成IOS的图标
2018/11/13 Python
Python使用微信itchat接口实现查看自己微信的信息功能详解
2019/08/22 Python
pytorch实现对输入超过三通道的数据进行训练
2020/01/15 Python
python中def是做什么的
2020/06/10 Python
python实例化对象的具体方法
2020/06/17 Python
PyTorch预训练Bert模型的示例
2020/11/17 Python
英国最红的高街时尚品牌:Topshop
2016/08/05 全球购物
接口的多继承会带来哪些问题
2015/08/17 面试题
公司节能减排倡议书
2014/05/14 职场文书
党员干部一句话承诺
2014/05/30 职场文书
植物生产学专业求职信
2014/08/08 职场文书
《中华上下五千年》读后感3篇
2019/11/29 职场文书
详解nginx.conf 中 root 目录设置问题
2021/04/01 Servers
Mysql systemctl start mysqld报错的问题解决
2021/06/03 MySQL
MySQL中int (10) 和 int (11) 的区别
2022/01/22 MySQL
Python万能模板案例之matplotlib绘制甘特图
2022/04/13 Python