HTML5 のセキュリティ攻撃と防御の詳細分析の最終章: HTML5 のセキュリティの向上

転載の際は出典を明記してください。 HTML5 では、古いセキュリティ戦略に多くの追加が加えられています。

1. iframe サンドボックス

HTML5 では、iframe 要素に Sandbox 属性を追加して、信頼できない Web ページが親ページの DOM へのアクセス、スクリプトの実行、ローカル ストレージやローカル データベースへのアクセスなどの特定の操作を実行できないようにします。しかし、このセキュリティ戦略は別のリスクをもたらします。これは非常に興味深いものです。たとえば、ClickJacking 攻撃により、JavaScript 防御メソッドをバイパスする JavaScript スクリプトの実行が妨げられます。

2. CSP コンテンツ セキュリティ ポリシー

XSS は、偽のコンテンツとクリックベイティングを通じて同一生成元ポリシーをバイパスします。 XSS 攻撃の核心は、スクリプトがサードパーティによって挿入されたものか、それとも実際にアプリケーションの一部であるかをブラウザが区別できないことです。 CSP は、Content-Security-Policy HTTP ヘッダーを定義して、サーバーが提供するすべてのコンテンツを盲目的に信頼するのではなく、ブラウザーがこれらのソースからのリソースのみを実行およびレンダリングできるように、信頼できるソースのホワイトリストを作成できるようにします。攻撃者がスクリプトを挿入する脆弱性を見つけたとしても、そのソースがホワイトリストに含まれていないため、そのスクリプトは実行されません。

XSS攻撃の原理

3. XSSフィルター

Chrome や Safari などの最新のブラウザーもセキュリティ防御手段を構築し、フロントエンドで XSS フィルターを提供します。たとえば、次の図に示すように、http://www.php.cn/;/p><script>alert(1)</script> は Chrome では実行されません。

4. その他

さらに、HTML5 アプリケーションは、Flash よりもシステム リソースへのアクセスが制限されています。

最後に、HTML5 固有のセキュリティ仕様はまだ議論中です。これを HTML5 仕様のさまざまな章に分割したいと考えている人もいます。Web のセキュリティだけではないため、現時点では個別のコンテンツはありません。アプリ開発者を考慮する必要があります。また、HTML5 サポートを実装し、標準化して指導するベンダーも考慮する必要があります。

個人的には、HTML5 のセキュリティ仕様については統一した章で説明し、各機能モジュールで適宜言及することになると考えています。

上記は、HTML5 のセキュリティ攻撃と防御の詳細な分析の最終章です: HTML5 のセキュリティの改善 詳細については、PHP 中国語 Web サイト (www.php.cn) に注目してください。