關注HTML5安全

2022-05-14 04:18:57 字數 1480 閱讀 5615

在今天的2012中國軟體開發者大會上,我做了名為《關注html5安全》的主題演講。我個人認為,隨著html5的普及和發展,html5的安全會成為近期帶來的嚴重問題。之所以大家還沒有感受到的原因是什麼?1、目前html5應用還不普及 2、暫時還沒有吸引攻擊者的關注。

演講摘要如下(來自csdn專題):

我曾經在《程式設計師》發表過一篇文章叫做html之美,當時提到了html是乙個很美好的標準,我把html比喻成一朵玫瑰,因為它其實跟html5一樣,玫瑰也具有很美好的特點,比如說它很漂亮,同時它有非常香的氣味,但是它同時有乙個非常不好的方面,就是會有尖銳的刺,我們就是要在享受它美好一面的同時,還要忍受它帶來不好的一面。因為web需要不斷地往前發展。雖然html5解決一些舊的風險,不過隨著帶來新的特性,也會幫助攻擊者去引入新的攻擊的方式。

我介紹了html5的四層架構,第一層是表現層,第二層是邏輯層,第三層是網路層,第四層是核心層面,在表現層面有可能遇到的api的攻擊和新標籤的攻擊,在外掛程式會引入corjacking,在第三層會有web worker攻擊,web storage攻擊,在第四層有clickjacking、cookiejacking。之所以大家還感覺不是特別明顯,因為第一目前html5的應用不是特別普及,目前攻擊者還沒有注意到這個,下面我詳細講訴了這些安全性的風險。

接下來我講到了html5安全規範問題,其實針對以上講的問題,我認為html5是應該有乙個關於安全方面的規範,進而規定開發者應該怎樣更安全地、更好地去開發應用,還有規定瀏覽器廠商如何更好更安全地去開發瀏覽器。但是這個規定目前還沒有,因為正在討論中。有的人希望它獨立成為乙個章節,也有人希望它分散到各章。我認為規章終究會出現,會作為乙個獨立的形式出現在html5規範裡,同時在每一章裡的具體細節也會有所體現。

在演講中,我也闡述了html5帶來的機會,在html4時代有antisamy,html purifier,目前html5在這一塊是乙個空白,空白代表著一片藍海,針對這一片未來有可能形成乙個新的產業,或者說會帶來新的機會。就像國外現在有一家公司正在做一件事情,面對基於web的攻擊目前的防火牆很難進行禁止和防禦,這家公司提供的新式防火牆,針對內容進行深入檢查,會對資料內容,格式,以及意圖,來分析哪些東西是安全的。我相信在國內隨著html5的發展,針對html5的安全也會帶來一些新的機遇。

演講的最後,我分析了html5的未來,我認為html5的安全問題會在三個層面被引入,第乙個層面是安全規範的層面,而html5是乙個發展非常快速的規範,同時社群非常透明,而且響應及時。社群裡面有擁有網際網路最好的公司,比如說facebook、谷歌以及微軟的支援,所以在規範上會盡快地修復掉這些漏洞。第二個層面是瀏覽器實現,雖然瀏覽器不斷地更新換代,會不斷地解決這些安全性問題或者是漏洞,同時所有瀏覽器廠商都正在積極面對html5安全問題。第三個也就是今天要講的目的,就是在應用實現層面提醒開發者注意html5安全問題,因為html5是未來安全發展的趨勢,不能因為html5有這樣的安全問題,就因噎廢食,可以預見的是,基於html5應用未來會出現乙個爆發式增長的趨勢。所以現在就要了解這些問題,最後我建議開發者要仔細地去了解所要採用的特性,同時對應用安全性做乙個評估。

HTML5學習之 HTML 5 拖放

拖放 drag 和 drop 是 html5 標準的組成部分。拖放是一種常見的特性,即抓取物件以後拖到另乙個位置。在 html5 中,拖放是標準的一部分,任何元素都能夠拖放。internet explorer 9 firefox opera 12 chrome 以及 safari 5 支援拖放。注釋...

html5標籤屬性大全 HTML5

音訊格式 屬性 值描述 屬性 值描述 屬性值描述 屬性值描述 gz bjsh 屬性值 描述 required required 表單擁有該屬性表示其內容不能為空,必填 placeholder 提示文字 表單的提示資訊,存在預設值將不顯示 autofocus autofocus 自動聚焦屬性,頁面載入...

瘋狂html5講義(一) HTML5簡介

1.在html發展歷史中,最廣為人知的是html3.2和html4.01.2.將html與xml的長處加以結合,從而得到xhtml,xhtml是更嚴格 更純淨的html 3.w3c組織使用dtd document type definition,文件型別定義 來定義html和xhtml的語義約束,包...