Bitte geben Sie die Quelle für den Nachdruck an: Das letzte Kapitel der detaillierten Analyse von HTML5-Sicherheitsangriffen und -verteidigungen: HTML5-Sicherheitsverbesserungen
HTML5 bietet viele Ergänzungen zu den alten Sicherheitsstrategien.
1. Iframe-Sandbox
HTML5 fügt dem iframe-Element ein Sandbox-Attribut hinzu, um zu verhindern, dass nicht vertrauenswürdige Webseiten bestimmte Vorgänge ausführen, z. B. den Zugriff auf das DOM der übergeordneten Seite, das Ausführen von Skripts, den Zugriff auf lokalen Speicher oder lokale Datenbanken usw. Diese Sicherheitsstrategie birgt jedoch auch andere Risiken, was sehr interessant ist. ClickJacking-Angriffe verhindern beispielsweise die Ausführung von JavaScript-Skripten, um JavaScript-Verteidigungsmethoden zu umgehen.
2. CSP-Inhaltssicherheitsrichtlinie
XSS umgeht die Same-Origin-Richtlinie durch gefälschte Inhalte und Clickbaiting. Der Kern des XSS-Angriffs besteht darin, dass der Browser nicht unterscheiden kann, ob das Skript von einem Dritten eingeschleust wurde oder tatsächlich Teil Ihrer Anwendung ist. CSP definiert den Content-Security-Policy-HTTP-Header, um Ihnen das Erstellen einer Whitelist vertrauenswürdiger Quellen zu ermöglichen, sodass der Browser nur Ressourcen aus diesen Quellen ausführt und rendert, anstatt allen vom Server bereitgestellten Inhalten blind zu vertrauen. Selbst wenn ein Angreifer eine Schwachstelle zum Einschleusen eines Skripts findet, wird dieses nicht ausgeführt, da die Quelle nicht in der Whitelist enthalten ist.
Das Prinzip des XSS-Angriffs
3. XSS-Filter
Moderne Browser wie Chrome und Safari verfügen ebenfalls über integrierte Sicherheitsmaßnahmen und bieten XSS-Filter im Frontend. Beispielsweise wird http://www.php.cn/;/p><script>alert(1)</script> nicht in Chrome ausgeführt, wie in der Abbildung unten gezeigt.
4. Andere
Darüber hinaus sind HTML5-Anwendungen beim Zugriff auf Systemressourcen stärker eingeschränkt als Flash.
Schließlich werden die HTML5-spezifischen Sicherheitsspezifikationen noch diskutiert. Einige möchten sie auf verschiedene Kapitel der HTML5-Spezifikationen verteilen, andere möchten sie derzeit nicht separat auflisten, da es sich nicht nur um die Sicherheit von Web handelt App-Entwickler müssen berücksichtigt werden, wir sollten auch die Anbieter berücksichtigen, die HTML5-Unterstützung implementieren und sie standardisieren und anleiten.
Ich persönlich denke, dass die Sicherheitsspezifikationen von HTML5 in einem einheitlichen Kapitel erläutert und in jedem Funktionsmodul entsprechend erwähnt werden.
Das Obige ist das letzte Kapitel der detaillierten Analyse von HTML5-Sicherheitsangriffen und -verteidigungen: HTML5-Sicherheitsverbesserungen. Weitere verwandte Inhalte finden Sie auf der chinesischen PHP-Website (www.php.cn)!