HTML5安全攻防詳細解說

　　HTML5對舊有的安全策略進行了非常多的補充。HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執(zhí)行某些操作，例如訪問父頁面的DOM、執(zhí)行腳本、訪問本地存儲或者本地數(shù)據(jù)庫等等。以下是小編為大家搜索整理的HTML5安全攻防詳細解說，希望能給大家?guī)�來幫�?更多精彩內(nèi)容請及時關注我們應屆畢業(yè)生考試網(wǎng)!

　　一、iframe沙箱

　　HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執(zhí)行某些操作，例如訪問父頁面的DOM、執(zhí)行腳本、訪問本地存儲或者本地數(shù)據(jù)庫等等。但是這個安全策略又會帶來另外的風險，這很有趣，例如ClickJacking攻擊里阻止JavaScript腳本的運行來繞過JavaScript的防御方式。

　　二、CSP內(nèi)容安全策略

　　XSS通過虛假內(nèi)容和誘騙點擊來繞過同源策略。 XSS攻擊的核心是利用了瀏覽器無法區(qū)分腳本是被第三方注入的，還是真的是你應用程序的一部分。CSP定義了Content-Security-Policy HTTP頭來允許你創(chuàng)建一個可信來源的白名單，使得瀏覽器只執(zhí)行和渲染來自這些來源的資源，而不是盲目信任服務器提供的所有內(nèi)容。即使攻擊者可以找到漏洞來注入腳本，但是因為來源不包含在白名單里，因此將不會被執(zhí)行。

　　XSS攻擊的原理

　　三、XSS過濾器

　　Chrome、Safari這樣的現(xiàn)代瀏覽器也構建了安全防御措施，在前端提供了XSS過濾器。例如http://test.jiangyujie.com/?text=

　　在Chrome中將無法得到執(zhí)行，如下圖所示。

　　四、其他

　　另外HTML5的應用程序訪問系統(tǒng)資源比Flash更受限制。

　　最后，關于HTML5專門的安全規(guī)范目前還在討論中，有的人希望分散到HTML5規(guī)范的各個章節(jié)，有的人希望單獨列出，目前沒有單獨的內(nèi)容，因為不僅要考慮Web App開發(fā)者的安全，還要考慮實現(xiàn)HTML5支持的廠商，對它們進行規(guī)范和指導。

【HTML5安全攻防詳細解說】相關文章：

HTML5安全攻防知識07-14

英語介詞短語詳細解說04-16

日語專八古典語法詳細解說05-03

詳細解說Linux操作系統(tǒng)的啟動步驟03-21

:公共英語三級最詳細解說07-27

科目三實際道路考試技巧詳細解說03-29

最新駕考科目二側方停車詳細解說03-20

一級建造師報考條件詳細解說07-17

HTML5是什么07-21