关于HTML5的安全问题开发人员需要牢记的


Posted in HTML / CSS onJune 21, 2012

应用程序安全专家表示,HTML5给开发人员带来了新的安全挑战。

苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸多猜测,尽管HTML 5的实现还有很长的路要走,但可以肯定的一点是,运用HTML 5的开发人员将需要为应用程序安全开发生命周期部署新的安全功能以应对HTML5带来的安全挑战。

那么HTML5将会对我们需要覆盖的攻击面带来怎样的影响?本文将探讨关于HTML 5几个重要安全问题。

客户端存储

早期版本的HTML仅允许网站将cookies作为本地信息存储,而这些空间相对较小,仅适用于存储简单的档案信息或者作为存储在其他位置的数据(例如会话ID)的标识符,Denim集团应用程序安全研究部门的主管Dan Cornell表示。然而,HTML5 LocalStorage则允许浏览器本地存储大量据库,允许使用新类型应用程序。

“随之而来的风险就是,敏感数据可能被存储在本地用户工作站,而物理访问或者破坏该工作站的攻击者,就能够轻松获得敏感数据,”Cornell表示,“这对于使用共享计算机的用户更加危险。”

“从定义上来说,它真的只是能够在客户端系统存储信息,”Rapid7公司的安全研究人员Josh Abraham表示,“那么你就具备基于客户端SQL注入攻击的潜在能力,或者可能你的某个客户端的数据库是恶意的,当与生产系统同步时,则可能出现同步问题,或者客户端的潜在恶意数据将被插入到生产系统。”

为了解决这个问题,开发人员需要能够验证数据是否为恶意的,这其实是个很复杂的问题。

对于这个问题的重要性并不是所有人都赞同。Veracode公司首席技术官Chris Wysopal表示,例如web应用程序通过使用插件或者浏览器扩展存储数据客户端就一直存在很多方法。

“有很多已知的方法可以操控目前部署的HTML5 SessionStorage属性,但是标准最终确定时,这个问题才会解决,”Wysopal表示。

跨域通信

而其他版本的HTML可能直允许JavaScript发出XML HTTP请求调用回原来的服务器,而HTML5放宽了这个限制,XML HTTP请求可以发送给任何允许这种请求的服务器。当然,如果服务器不可信任的话,这也会带来严重安全问题。

“例如,我可以建立一个mashup(糅合,将两种以上使用公共或者私有数据库的web应用合并形成一个整合应用)通过 JSON(Javascript Object Notation)将第三方网站的比赛比分拉过来,”Cornell表示,“这个网站可能会发送恶意数据到我的用户浏览器正在运行的应用程序上。虽说 HTML5允许新类型的应用程序的建立,但如果开发人员在开始使用这些功能时,并不理解他们所建立的应用程序的安全意义,那么将会给用户带来很大安全风险。”

对于依赖于PostMessage()来编写应用程序的开发人员而言,必须仔细检查以确保信息是来源于他们自己的网站,否则来自其他网站的恶意代码可能会制造恶意信息,Wysopal补充说。这个功能本身并不是安全的,开发人员已经开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通讯。

另一个相关问题是,万维网联盟目前为跨源资源共享设计提供了一种使用类似与跨域机制绕过同源政策的方法。

“IE部署的安全功能与Firefox、Chrome以及Safari都不相同,”他指出,“开发人员需要确保他们创建过于宽松访问控制列表的危害,特别是因为某些参考代码目前非常不安全。

Iframe安全

从安全角度来看,HTML5也有不错的功能,例如计划支持iframe的沙盒属性。

“这个属性将允许开发者选择数据如何解译的方式,”Wysopal表示,“不幸的是,与大部分HTML一样,这个设计很可能被开发人员误解,很可能因为不便于使用而被开发人员禁用。如果处理得当,这个功能将能够帮助抵御恶意第三方广告或者防止不可信任内容重放。”

HTML / CSS 相关文章推荐
CSS3教程:background-clip和background-origin
Oct 17 HTML / CSS
使用CSS禁止textarea调整大小功能的方法
Mar 13 HTML / CSS
HTML5 Canvas图像模糊完美解决办法
Feb 06 HTML / CSS
html5 canvas 画图教程案例分析
Nov 23 HTML / CSS
HTML5离线缓存在tomcat下部署可实现图片flash等离线浏览
Dec 13 HTML / CSS
用HTML5制作视频拼图的教程
May 13 HTML / CSS
使用phonegap获取设备的一些信息方法
Mar 31 HTML / CSS
详解canvas绘制多张图的排列顺序问题
Jan 21 HTML / CSS
html5写一个BUI折叠菜单插件的实现方法
Sep 11 HTML / CSS
H5页面适配iPhoneX(就是那么简单)
Dec 02 HTML / CSS
基于HTML5+tracking.js实现刷脸支付功能
Apr 16 HTML / CSS
Html5移动端div固定到底部实现底部导航条的几种方式
Mar 09 HTML / CSS
HTML5 对各个标签的定义与规定:body的介绍
Jun 21 #HTML / CSS
网易微博Web App用HTML5开发的过程介绍
Jun 13 #HTML / CSS
只要五步 就可以用HTML5/CSS3快速制作便签贴特效(图)
Jun 04 #HTML / CSS
关于HTML5你必须知道的28个新特性,新技巧以及新技术
May 28 #HTML / CSS
HTML5的标签的代码的简单介绍 HTML5标签的简介
May 28 #HTML / CSS
html5 兼容IE6结构的实现代码
May 14 #HTML / CSS
html5 Canvas绘制线条 closePath()实例代码
May 10 #HTML / CSS
You might like
ASP知识讲座四
2006/10/09 PHP
详解Yii2 之 生成 URL 的方法
2017/06/16 PHP
jquery animate 动画效果使用说明
2009/11/04 Javascript
document.getElementById介绍
2011/09/13 Javascript
JavaScript实现页面实时显示当前时间的简单实例
2013/07/20 Javascript
jQuery手机浏览器中拖拽动作的艰难性分析
2015/02/04 Javascript
jQuery实现移动 和 渐变特效的点击事件
2015/02/26 Javascript
JS实现自动固定顶部的悬浮菜单栏效果
2015/09/16 Javascript
javaScript数组迭代方法详解
2016/04/14 Javascript
浅谈js中的延迟执行和定时执行
2016/05/31 Javascript
D3.js中强制异步文件读取同步的几种方法
2017/02/06 Javascript
JavaScript仿微信(电话)联系人列表滑动字母索引实例讲解(推荐)
2017/08/16 Javascript
详解Vue 事件修饰符capture 的使用
2017/12/29 Javascript
Vue与Node.js通过socket.io通信的示例代码
2018/07/25 Javascript
微信h5静默和非静默授权获取用户openId的方法和步骤
2020/06/08 Javascript
vue 解决在微信内置浏览器中调用支付宝支付的情况
2020/11/09 Javascript
[01:20]辉夜杯背景故事宣传片《辉夜传说》
2015/12/25 DOTA
flask中主动抛出异常及统一异常处理代码示例
2018/01/18 Python
python TCP Socket的粘包和分包的处理详解
2018/02/09 Python
pycharm 配置远程解释器的方法
2018/10/28 Python
对Python中的条件判断、循环以及循环的终止方法详解
2019/02/08 Python
谈一谈基于python的面向对象编程基础
2019/05/21 Python
python和mysql交互操作实例详解【基于pymysql库】
2019/06/04 Python
Django框架基础模板标签与filter使用方法详解
2019/07/23 Python
10个python3常用排序算法详细说明与实例(快速排序,冒泡排序,桶排序,基数排序,堆排序,希尔排序,归并排序,计数排序)
2020/03/17 Python
python接口自动化之ConfigParser配置文件的使用详解
2020/08/03 Python
纯CSS3实现带动画效果导航菜单无需js
2013/09/27 HTML / CSS
Tirendo比利时:在线购买轮胎
2018/10/22 全球购物
实习生个人找工作的自我评价
2013/10/30 职场文书
高三毕业典礼演讲稿
2014/05/13 职场文书
五一口号
2014/06/19 职场文书
土建技术员岗位职责
2015/04/11 职场文书
公司环境卫生管理制度
2015/08/05 职场文书
原来实习报告是这样写的呀!
2019/07/03 职场文书
XX部保密工作制度范本
2019/08/27 职场文书
CSS3常见动画的实现方式
2021/04/14 HTML / CSS