首頁 >web前端 >H5教程 >HTML5安全攻防詳析之完結篇:HTML5對安全性的改進

HTML5安全攻防詳析之完結篇:HTML5對安全性的改進

黄舟
黄舟原創
2017-03-03 16:49:521932瀏覽

          轉載請註明來源:HTML5安全攻防詳析之完結篇:HTML5對安全的改良

HTML5對舊有的安全策略做了非常多的補充。

一、iframe沙箱

HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執行某些操作,例如存取父頁面的DOM、執行腳本、存取本機儲存或本機資料庫等等。但這個安全策略又會帶來另外的風險,這很有趣,例如ClickJacking攻擊裡阻止JavaScript腳本的運作來繞過JavaScript的防禦方式。

二、CSP內容安全性政策

XSS透過虛假內容和誘騙點擊來繞過同源策略。 XSS攻擊的核心是利用了瀏覽器無法區分腳本是被第三方注入的,還是真的是你應用程式的一部分。 CSP定義了Content-Security-Policy HTTP頭來允許你建立一個可信任來源的白名單,讓瀏覽器只執行和渲染來自這些來源的資源,而不是盲目信任伺服器提供的所有內容。即使攻擊者可以找到漏洞來注入腳本,但是因為來源不包含在白名單裡,因此將不會被執行。

# XSS攻擊的原理

三、XSS過濾器

Chrome、Safari這樣的現代瀏覽器也建構了安全防禦措施,在前端提供了XSS過濾器。例如http://www.php.cn/;/p><script>alert(1)</script>在Chrome中將無法執行,如下圖所示。

# 四、其他

# 另外HTML5的應用程式存取系統資源比Flash更受限制。

最後,關於HTML5專門的安全規範目前還在討論中,有的人希望分散到HTML5規範的各個章節,有的人希望單獨列出,目前沒有單獨的內容,因為不僅要考慮Web App開發者的安全,也要考慮實現HTML5支援的廠商,對它們進行規範和指導。

我個人認為HTML5的安全規範將會有一個統一的章節來進行闡述,並在各個功能模組相應的提及。

 以上就是HTML5安全攻防詳析之完結篇:HTML5對安全的改進的內容,更多相關內容請關注PHP中文網(www.php.cn)!


#
陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn