沙发类厂家
免费服务热线

Free service

hotline

010-00000000
沙发类厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

开发人员需要牢记的HTML5安全问题

发布时间:2019-03-12 02:52:25 阅读: 来源:沙发类厂家

应用程序安全专家表示,HTML5给开发人员带来了新的安全挑战。苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸佟丽娅小说排行榜多猜想,虽然HTML 5的实现还有很长的路要走,但可以肯定的一点是,应用HTML 5的开发人员将需要为应用程序安全开发生命周期部署新的安全功能以应对HTML5带来的安全挑战。

那末HTML5将会对我们需要覆盖的攻击面带来怎样的影响?本文将探讨关于HTML 5几个重要安全问题。

客户端存储

初期版本的HTML仅允许网站将cookies作为本地信息存储,而这些空间相对较小,仅适用于存储简单的档案信息或作为存储在其他位置的数 据(例如会话ID)的标识符,Denim团体应用程序安全研究部门的主管Dan Cornell表示。但是,HTML5LocalStorage则允许浏览器本地存储大量据库,允许使用新类型应用程序。

黄色笑话无删节随之而来的风险就是,敏感数据可能被存储在本地用户工作站,而物理访问或破坏该工作站的攻击者,就能够轻松取得敏感数据,”Cornell 表示,“这对使用同享计算机的用户更加危险。”

“从定义上来讲,它真的只是能够在客户端系统存储信息,”Rapid7公司的安全研究人员JoshAbraham表示,“那末你就具有基于客户端SQL注入攻击的潜伏能力,或可能你的某个客户端的数据库是歹意的,当与生产系统同步时,则可能出现同步 问题,或客户端的潜伏歹意数据将被插入到生产系统。”

为了解决这个问题,开发人员需要能够验证数据是不是为歹意的,这其实是个很复杂的问题。

对这个问题的重要性并不是所有人都赞同。Veracode公司首席技术官ChrisWysopal表示,例如web应用程序通过使用插件或浏览器扩大存储数据客户端就一直存在很多方法。

“有很多已知的方法可以操控目前部署的HTML5SessionStorage属性,但是标准终究肯定时,这个问题才会解决,”Wysopal表示。

跨域通讯

而其他版本的HTML可能直允许JavaScript发出XML HTTP要求调用回原来的服务器,而HTML5放宽了这个限制,XMLHTTP要求可以发送给任何允许这类要求的服务器。固然,如果服务器不可信任的话,这也会带来严重安全问题。

“例如,我可以建立一个mashup(糅合,将两种以上使用公共或私有数据库的web运用合并构成一个整合运用)通过 JSON(Javascript ObjectNotation)将第三方网站的比赛比分拉过来,”Cornell表示,“这个网站可能会发送歹意数据到我的用户浏览器正在运行的应用程序上。虽然说 HTML5允许新类型的应用程序的建立,但如果开发人员在开始使用这些功能时,其实不理解他们所建立的应用程序的安全意义,那末将会给用户带来很大安全风 险。”

对依赖于PostMessage()来编写应用程序的开发人员而言,必须仔细检查以确保信息是来源于他们自己的网站,否则来自其他网站的歹意 代码可能会制造歹意信息,Wysopal补充说。这个功能本身并不是安全的,开发人员已开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通 讯。

另一个相干问题是,万维网同盟目前为跨源北条麻妃作品资源共享设计提供了一种使用类似与跨域机制绕过同源政策的方法。

“IE部署的安全功能与Firefox、Chrome和Safari都不相同,”他指出,“开发人员需要确保他们创建过于宽松访问控制列表的 危害,特别是由于某些参考代码目前非常不安全。

Iframe安全

从安全角度来看,HTML5也有不错的功能,例如计划支持iframe的沙盒属性。

“这个属性将允许开发者选择数据如何解译的方式,”Wysopal表示,“不幸的是,与大部分HTML一样,这个设计极可能被开发人员误解,很 可能由于不便于使用而被开发人员禁用。如果处理得当,这个功能将能够帮助抵抗歹意第三方广告或避免不可信任内容重放。”文/IT专家网

相关阅读