suchen
HeimWeb-FrontendH5-TutorialSicherheitsprobleme bei HTML5 Was Entwickler beachten müssen_HTML5-Tutorial-Tipps

Experten für Anwendungssicherheit sagen, dass HTML5 Entwickler vor neue Sicherheitsherausforderungen stellt.
Der Wortgefecht zwischen Apple und Adobe hat zu vielen Spekulationen über das Schicksal von HTML 5 geführt. Obwohl die Implementierung von HTML 5 noch einen langen Weg vor sich hat, ist eines sicher: Entwickler, die HTML verwenden 5 Neue Sicherheitsfunktionen müssen für den Entwicklungslebenszyklus der Anwendungssicherheit bereitgestellt werden, um die Sicherheitsherausforderungen von HTML5 zu bewältigen.
Welche Auswirkungen wird HTML5 also auf die Angriffsfläche haben, die wir abdecken müssen? In diesem Artikel werden mehrere wichtige Sicherheitsprobleme in Bezug auf HTML 5 untersucht.
 Clientseitige Speicherung
Frühe Versionen von HTML erlaubten Websites nur das Speichern von Cookies als lokale Informationen, und diese Räume waren relativ klein und nur zum Speichern einfacher Archivinformationen oder als Speicher an anderen Orten geeignet . Eine Kennung für die Daten, beispielsweise eine Sitzungs-ID, sagte Dan Cornell, Direktor für Anwendungssicherheitsforschung bei Denim Group. HTML5 LocalStorage ermöglicht es dem Browser jedoch, große Datenbanken lokal zu speichern, wodurch neue Arten von Anwendungen verwendet werden können.
„Das damit verbundene Risiko besteht darin, dass sensible Daten auf der Workstation des lokalen Benutzers gespeichert werden und ein Angreifer, der physisch auf die Workstation zugreift oder diese zerstört, leicht an die sensiblen Daten gelangen kann“, sagte Cornell. „Dies ist besonders wichtig, wenn gemeinsam genutzte Computer verwendet werden.“ „Per Definition ist es eigentlich nur die Möglichkeit, Informationen auf dem Client-System zu speichern“, sagte Josh Abraham, ein Sicherheitsforscher bei Rapid7. „Dann besteht die Möglichkeit eines clientseitigen SQL-Injection-Angriffs.“ Die Datenbanken Ihres Kunden sind bösartig, und bei der Synchronisierung mit dem Produktionssystem kann es zu Synchronisierungsproblemen kommen, oder die potenziell schädlichen Daten des Kunden werden in das Produktionssystem eingefügt. „
 Um dieses Problem zu lösen um zu überprüfen, ob die Daten schädlich sind, was eigentlich ein sehr komplexes Problem ist.
Nicht alle sind sich über die Bedeutung dieses Themas einig. Chris Wysopal, Chief Technology Officer bei Veracode, sagte, dass es für Webanwendungen viele Möglichkeiten gebe, Daten clientseitig zu speichern, beispielsweise durch die Verwendung von Plug-ins oder Browsererweiterungen.
„Es gibt viele bekannte Möglichkeiten, die derzeit bereitgestellten HTML5-SessionStorage-Eigenschaften zu manipulieren, aber dieses Problem wird erst gelöst, wenn der Standard finalisiert ist“, sagte Wysopal.
 
Domänenübergreifende Kommunikation Während andere HTML-Versionen es JavaScript möglicherweise ermöglichen, XML-HTTP-Anfragen zurück an den ursprünglichen Server zu senden, lockert HTML5 diese Einschränkung und XML-HTTP-Anfragen können an jeden Server gesendet werden, der dies tut ermöglicht dies. Dies kann natürlich auch zu schwerwiegenden Sicherheitsproblemen führen, wenn dem Server nicht vertraut werden kann.
 „Zum Beispiel kann ich ein Mashup erstellen (ein Mashup, das zwei oder mehr Webanwendungen kombiniert, die öffentliche oder private Datenbanken verwenden, um eine integrierte Anwendung zu bilden), um Spielstände über JSON (Javascript Object Notation) von Websites Dritter abzurufen. „Diese Website könnte schädliche Daten an eine Anwendung senden, die im Browser meines Benutzers ausgeführt wird“, sagte Cornell. Obwohl HTML5 die Erstellung neuer Arten von Anwendungen ermöglicht, ist die Sicherheit beeinträchtigt, wenn Entwickler diese Funktionen nicht verstehen, wenn sie mit ihrer Verwendung beginnen Die Auswirkungen der erstellten Anwendung bringen große Sicherheitsrisiken für Benutzer mit sich.“
Entwickler, die Anwendungen schreiben, die auf PostMessage() basieren, müssen sorgfältig prüfen, ob die Informationen von ihrer eigenen Website stammen, andernfalls schädlicher Code von anderen Websites könnten schädliche Nachrichten erstellen, fügte Wysopal hinzu. Diese Funktion ist nicht grundsätzlich sicher und Entwickler haben damit begonnen, verschiedene DOM- (Document Object Model)/Browser-Funktionen zu verwenden, um die domänenübergreifende Kommunikation zu emulieren.
Ein weiteres damit zusammenhängendes Problem besteht darin, dass das World Wide Web Consortium derzeit eine Möglichkeit bietet, die Same-Origin-Richtlinie mithilfe eines ähnlichen domänenübergreifenden Mechanismus für Cross-Origin-Designs zur gemeinsamen Nutzung von Ressourcen zu umgehen.
„IE stellt andere Sicherheitsfunktionen bereit als Firefox, Chrome und Safari“, bemerkte er. „Entwickler müssen sicherstellen, dass ihnen durch die Erstellung von Zugriffskontrolllisten zu wenig Sicherheit geboten wird, insbesondere da einige Referenzcodes derzeit sehr unsicher sind.“ > 
Iframe-Sicherheit
 Aus Sicherheitsgründen bietet HTML5 auch gute Funktionen, wie z. B. Pläne zur Unterstützung des Sandbox-Attributs von Iframes.  „Mit diesem Attribut können Entwickler auswählen, wie die Daten interpretiert werden.“ „Leider wird dieses Design, wie das meiste HTML, wahrscheinlich von Entwicklern missverstanden und von Entwicklern wahrscheinlich deaktiviert, weil es unbequem zu verwenden ist.“ Bei richtiger Anwendung kann diese Funktion zum Schutz vor böswilliger Werbung Dritter beitragen oder die Wiedergabe nicht vertrauenswürdiger Inhalte verhindern. ”

Stellungnahme
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
H5 -Code verstehen: Die Grundlagen von HTML5H5 -Code verstehen: Die Grundlagen von HTML5Apr 17, 2025 am 12:08 AM

HTML5 ist eine Schlüsseltechnologie zum Aufbau moderner Webseiten und bietet viele neue Elemente und Funktionen. 1. HTML5 führt semantische Elemente wie usw. ein, die die Webseitenstruktur und die SEO verbessern. 2. Support Multimedia-Elemente und Einbetten von Medien ohne Plug-Ins. 3. Formulare verbessern neue Eingangstypen und Überprüfungseigenschaften und vereinfachen Sie den Überprüfungsprozess. 4. Bieten Sie Offline- und lokale Speicherfunktionen an, um die Leistung der Webseiten und die Benutzererfahrung zu verbessern.

H5 -Code: Best Practices für WebentwicklerH5 -Code: Best Practices für WebentwicklerApr 16, 2025 am 12:14 AM

Zu den Best Practices für den H5 -Code gehören: 1. Verwenden Sie korrekte DocType -Deklarationen und Zeichenkodierung; 2. Verwenden Sie semantische Tags; 3.. HTTP -Anfragen reduzieren; 4. Verwenden Sie asynchrone Laden; 5. Bilder optimieren. Diese Praktiken können die Effizienz, Wartbarkeit und Benutzererfahrung von Webseiten verbessern.

H5: Die Entwicklung von Webstandards und TechnologienH5: Die Entwicklung von Webstandards und TechnologienApr 15, 2025 am 12:12 AM

Webstandards und -technologien haben sich bisher aus HTML4, CSS2 und einfachem JavaScript entwickelt und haben erhebliche Entwicklungen erfahren. 1) HTML5 führt APIs wie Leinwand und Webstorage ein, die die Komplexität und Interaktivität von Webanwendungen verbessern. 2) CSS3 fügt Animations- und Übergangsfunktionen hinzu, um die Seite effektiver zu gestalten. 3) JavaScript verbessert die Entwicklungseffizienz und die Lesbarkeit der Code durch moderne Syntax von Node.js und ES6, wie z. B. Pfeilfunktionen und Klassen. Diese Änderungen haben die Entwicklung von Leistungsoptimierung und Best Practices von Webanwendungen gefördert.

Ist H5 eine Abkürzung für HTML5? Erforschen der DetailsIst H5 eine Abkürzung für HTML5? Erforschen der DetailsApr 14, 2025 am 12:05 AM

H5 ist nicht nur die Abkürzung von HTML5, sondern auch ein breiteres Ökosystem der modernen Webentwicklungstechnologie: 1. H5 enthält HTML5, CSS3, JavaScript und verwandte APIs und Technologien; 2. Es bietet eine reichhaltigere, interaktive und reibungslose Benutzererfahrung und kann nahtlos auf mehreren Geräten ausgeführt werden. 3. Mit dem H5 -Technologie -Stack können Sie reaktionsschnelle Webseiten und komplexe interaktive Funktionen erstellen.

H5 und HTML5: häufig verwendete Begriffe in der WebentwicklungH5 und HTML5: häufig verwendete Begriffe in der WebentwicklungApr 13, 2025 am 12:01 AM

H5 und HTML5 beziehen sich auf dasselbe, nämlich HTML5. HTML5 ist die fünfte Version von HTML, die neue Funktionen wie semantische Tags, Multimedia -Support, Leinwand und Grafiken, Offline -Speicher und lokaler Speicher bietet, die Ausdrucksfähigkeit und Interaktivität von Webseiten verbessert.

Worauf bezieht sich H5? Erforschen des KontextesWorauf bezieht sich H5? Erforschen des KontextesApr 12, 2025 am 12:03 AM

H5REFERSTOHTML5, ApivotaltechnologyInwebdevelopment.1) HTML5IntroducesNewelementsandapisrich, Dynamicwebapplications.2) ITSUPP ortsmultimediaWitHoutPlugins, BETHINGINGUSEREXPERICERCROSSDEVICES.3) SEMANTICELEMENTSIMPROVEPENTENTENTENTRUCTENTRUCTELUREANDSEO.4) H5'SRespo

H5: Tools, Frameworks und Best PracticesH5: Tools, Frameworks und Best PracticesApr 11, 2025 am 12:11 AM

Zu den Tools und Frameworks, die in der H5 -Entwicklung gemeistert werden müssen, gehören Vue.js, React und WebPack. 1.Vue.js eignet sich zum Erstellen von Benutzeroberflächen und unterstützt die Komponentenentwicklung. 2. Die Rendern des Seitenrenders über virtuelle DOM optimiert, geeignet für komplexe Anwendungen. 3.Webpack wird zur Modulverpackung und zur Optimierung der Ressourcenlast verwendet.

Das Erbe von HTML5: H5 in der Gegenwart verstehenDas Erbe von HTML5: H5 in der Gegenwart verstehenApr 10, 2025 am 09:28 AM

HTML5hassignificantlytransformedwebdevelopmentbyintroducingsemanticelements,enhancingmultimediasupport,andimprovingperformance.1)ItmadewebsitesmoreaccessibleandSEO-friendlywithsemanticelementslike,,and.2)HTML5introducednativeandtags,eliminatingthenee

See all articles

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
1 Monate vorBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Beste grafische Einstellungen
1 Monate vorBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. So reparieren Sie Audio, wenn Sie niemanden hören können
1 Monate vorBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Chat -Befehle und wie man sie benutzt
1 Monate vorBy尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

SecLists

SecLists

SecLists ist der ultimative Begleiter für Sicherheitstester. Dabei handelt es sich um eine Sammlung verschiedener Arten von Listen, die häufig bei Sicherheitsbewertungen verwendet werden, an einem Ort. SecLists trägt dazu bei, Sicherheitstests effizienter und produktiver zu gestalten, indem es bequem alle Listen bereitstellt, die ein Sicherheitstester benötigen könnte. Zu den Listentypen gehören Benutzernamen, Passwörter, URLs, Fuzzing-Payloads, Muster für vertrauliche Daten, Web-Shells und mehr. Der Tester kann dieses Repository einfach auf einen neuen Testcomputer übertragen und hat dann Zugriff auf alle Arten von Listen, die er benötigt.

PHPStorm Mac-Version

PHPStorm Mac-Version

Das neueste (2018.2.1) professionelle, integrierte PHP-Entwicklungstool

DVWA

DVWA

Damn Vulnerable Web App (DVWA) ist eine PHP/MySQL-Webanwendung, die sehr anfällig ist. Seine Hauptziele bestehen darin, Sicherheitsexperten dabei zu helfen, ihre Fähigkeiten und Tools in einem rechtlichen Umfeld zu testen, Webentwicklern dabei zu helfen, den Prozess der Sicherung von Webanwendungen besser zu verstehen, und Lehrern/Schülern dabei zu helfen, in einer Unterrichtsumgebung Webanwendungen zu lehren/lernen Sicherheit. Das Ziel von DVWA besteht darin, einige der häufigsten Web-Schwachstellen über eine einfache und unkomplizierte Benutzeroberfläche mit unterschiedlichen Schwierigkeitsgraden zu üben. Bitte beachten Sie, dass diese Software

Dreamweaver Mac

Dreamweaver Mac

Visuelle Webentwicklungstools

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools