关于HTML5的安全问题开发人员需要牢记的


Posted in HTML / CSS onJune 21, 2012

应用程序安全专家表示,HTML5给开发人员带来了新的安全挑战。

苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸多猜测,尽管HTML 5的实现还有很长的路要走,但可以肯定的一点是,运用HTML 5的开发人员将需要为应用程序安全开发生命周期部署新的安全功能以应对HTML5带来的安全挑战。

那么HTML5将会对我们需要覆盖的攻击面带来怎样的影响?本文将探讨关于HTML 5几个重要安全问题。

客户端存储

早期版本的HTML仅允许网站将cookies作为本地信息存储,而这些空间相对较小,仅适用于存储简单的档案信息或者作为存储在其他位置的数据(例如会话ID)的标识符,Denim集团应用程序安全研究部门的主管Dan Cornell表示。然而,HTML5 LocalStorage则允许浏览器本地存储大量据库,允许使用新类型应用程序。

“随之而来的风险就是,敏感数据可能被存储在本地用户工作站,而物理访问或者破坏该工作站的攻击者,就能够轻松获得敏感数据,”Cornell表示,“这对于使用共享计算机的用户更加危险。”

“从定义上来说,它真的只是能够在客户端系统存储信息,”Rapid7公司的安全研究人员Josh Abraham表示,“那么你就具备基于客户端SQL注入攻击的潜在能力,或者可能你的某个客户端的数据库是恶意的,当与生产系统同步时,则可能出现同步问题,或者客户端的潜在恶意数据将被插入到生产系统。”

为了解决这个问题,开发人员需要能够验证数据是否为恶意的,这其实是个很复杂的问题。

对于这个问题的重要性并不是所有人都赞同。Veracode公司首席技术官Chris Wysopal表示,例如web应用程序通过使用插件或者浏览器扩展存储数据客户端就一直存在很多方法。

“有很多已知的方法可以操控目前部署的HTML5 SessionStorage属性,但是标准最终确定时,这个问题才会解决,”Wysopal表示。

跨域通信

而其他版本的HTML可能直允许JavaScript发出XML HTTP请求调用回原来的服务器,而HTML5放宽了这个限制,XML HTTP请求可以发送给任何允许这种请求的服务器。当然,如果服务器不可信任的话,这也会带来严重安全问题。

“例如,我可以建立一个mashup(糅合,将两种以上使用公共或者私有数据库的web应用合并形成一个整合应用)通过 JSON(Javascript Object Notation)将第三方网站的比赛比分拉过来,”Cornell表示,“这个网站可能会发送恶意数据到我的用户浏览器正在运行的应用程序上。虽说 HTML5允许新类型的应用程序的建立,但如果开发人员在开始使用这些功能时,并不理解他们所建立的应用程序的安全意义,那么将会给用户带来很大安全风险。”

对于依赖于PostMessage()来编写应用程序的开发人员而言,必须仔细检查以确保信息是来源于他们自己的网站,否则来自其他网站的恶意代码可能会制造恶意信息,Wysopal补充说。这个功能本身并不是安全的,开发人员已经开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通讯。

另一个相关问题是,万维网联盟目前为跨源资源共享设计提供了一种使用类似与跨域机制绕过同源政策的方法。

“IE部署的安全功能与Firefox、Chrome以及Safari都不相同,”他指出,“开发人员需要确保他们创建过于宽松访问控制列表的危害,特别是因为某些参考代码目前非常不安全。

Iframe安全

从安全角度来看,HTML5也有不错的功能,例如计划支持iframe的沙盒属性。

“这个属性将允许开发者选择数据如何解译的方式,”Wysopal表示,“不幸的是,与大部分HTML一样,这个设计很可能被开发人员误解,很可能因为不便于使用而被开发人员禁用。如果处理得当,这个功能将能够帮助抵御恶意第三方广告或者防止不可信任内容重放。”

HTML / CSS 相关文章推荐
使用css3背景渐变中的透明度来设置不同颜色的背景渐变
Mar 31 HTML / CSS
CSS3弹性盒模型flex box快速入门心得(必看篇)
May 24 HTML / CSS
CSS3 真的会替代 SCSS 吗
Mar 09 HTML / CSS
html5嵌入内容_动力节点Java学院整理
Jul 07 HTML / CSS
HTML5之WebGL 3D概述(下)—借助类库开发及框架介绍
Jan 31 HTML / CSS
HTML5使用DOM进行自定义控制示例代码
Jun 08 HTML / CSS
用HTML5的canvas实现一个炫酷时钟效果
May 20 HTML / CSS
如何在Canvas中添加事件的方法示例
May 21 HTML / CSS
AmazeUI 网格的实现示例
Aug 13 HTML / CSS
浅谈amaze-ui中datepicker和datetimepicker注意的几点
Aug 21 HTML / CSS
css中有哪些方式可以隐藏页面元素及区别
Jun 16 HTML / CSS
clear 万能清除浮动(clearfix:after)
May 21 HTML / CSS
HTML5 对各个标签的定义与规定:body的介绍
Jun 21 #HTML / CSS
网易微博Web App用HTML5开发的过程介绍
Jun 13 #HTML / CSS
只要五步 就可以用HTML5/CSS3快速制作便签贴特效(图)
Jun 04 #HTML / CSS
关于HTML5你必须知道的28个新特性,新技巧以及新技术
May 28 #HTML / CSS
HTML5的标签的代码的简单介绍 HTML5标签的简介
May 28 #HTML / CSS
html5 兼容IE6结构的实现代码
May 14 #HTML / CSS
html5 Canvas绘制线条 closePath()实例代码
May 10 #HTML / CSS
You might like
php Smarty 字符比较代码
2011/02/27 PHP
PHP下使用CURL方式POST数据至API接口的代码
2013/02/14 PHP
Laravel实现短信注册的示例代码
2018/05/29 PHP
给Function做的OOP扩展
2009/05/07 Javascript
关于jQuery对象数据缓存Cache原理以及jQuery.data详解
2013/04/07 Javascript
JavaScript编程的10个实用小技巧
2014/04/18 Javascript
JavaScript闭包函数访问外部变量的方法
2014/08/27 Javascript
js实现文章文字大小字号功能完整实例
2014/11/01 Javascript
js实现文字闪烁特效的方法
2015/12/17 Javascript
javascript实现仿百度图片的瀑布流加载效果
2016/04/20 Javascript
jQuery实现下拉框多选 jquery-multiselect 的实例代码
2016/07/14 Javascript
bootstrap fileinput完整实例分享
2016/11/08 Javascript
Dropzone.js实现文件拖拽上传功能(附源码下载)
2016/11/22 Javascript
Bootstrap 3 进度条的实现
2017/02/22 Javascript
js+html5实现侧滑页面效果
2017/07/15 Javascript
基于vue循环列表时点击跳转页面的方法
2018/08/31 Javascript
layui 表单标签的校验方法
2019/09/04 Javascript
浅谈Python浅拷贝、深拷贝及引用机制
2016/12/15 Python
TF-IDF与余弦相似性的应用(二) 找出相似文章
2017/12/21 Python
对pyqt5多线程正确的开启姿势详解
2019/06/14 Python
Python计算不规则图形面积算法实现解析
2019/11/22 Python
图解Python中深浅copy(通俗易懂)
2020/09/03 Python
Python文件操作及内置函数flush原理解析
2020/10/13 Python
Bonami斯洛伐克:购买家具和家居饰品
2019/07/02 全球购物
Linux中如何用命令创建目录
2015/01/12 面试题
网络工程系信息安全技术专业大学生求职信
2013/10/22 职场文书
汽车运用工程专业毕业生推荐信
2013/12/25 职场文书
班组建设经验交流材料
2014/05/12 职场文书
教师师德师风自我剖析材料
2014/09/29 职场文书
2014年纪检部工作总结
2014/11/12 职场文书
2015年社区矫正工作总结
2015/04/21 职场文书
2015年数学教研组工作总结
2015/05/23 职场文书
奖学金发言稿(范文)
2019/08/21 职场文书
nginx限制并发连接请求数的方法
2021/04/01 Servers
Nginx反向代理配置的全过程记录
2021/06/22 Servers
5行Python代码实现一键批量扣图
2021/06/29 Python