轉載請註明來源:HTML5安全攻防詳析之完結篇:HTML5對安全的改良
HTML5對舊有的安全策略做了非常多的補充。
一、iframe沙箱
HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執行某些操作,例如存取父頁面的DOM、執行腳本、存取本機儲存或本機資料庫等等。但這個安全策略又會帶來另外的風險,這很有趣,例如ClickJacking攻擊裡阻止JavaScript腳本的運作來繞過JavaScript的防禦方式。
二、CSP內容安全性政策
XSS透過虛假內容和誘騙點擊來繞過同源策略。 XSS攻擊的核心是利用了瀏覽器無法區分腳本是被第三方注入的,還是真的是你應用程式的一部分。 CSP定義了Content-Security-Policy HTTP頭來允許你建立一個可信任來源的白名單,讓瀏覽器只執行和渲染來自這些來源的資源,而不是盲目信任伺服器提供的所有內容。即使攻擊者可以找到漏洞來注入腳本,但是因為來源不包含在白名單裡,因此將不會被執行。
# XSS攻擊的原理
三、XSS過濾器
Chrome、Safari這樣的現代瀏覽器也建構了安全防禦措施,在前端提供了XSS過濾器。例如http://www.php.cn/;/p><script>alert(1)</script>在Chrome中將無法執行,如下圖所示。
# 四、其他
# 另外HTML5的應用程式存取系統資源比Flash更受限制。
最後,關於HTML5專門的安全規範目前還在討論中,有的人希望分散到HTML5規範的各個章節,有的人希望單獨列出,目前沒有單獨的內容,因為不僅要考慮Web App開發者的安全,也要考慮實現HTML5支援的廠商,對它們進行規範和指導。
我個人認為HTML5的安全規範將會有一個統一的章節來進行闡述,並在各個功能模組相應的提及。
以上就是HTML5安全攻防詳析之完結篇:HTML5對安全的改進的內容,更多相關內容請關注PHP中文網(www.php.cn)!
