广州网站建造集团官网 老直营威尼斯网址开户
老品牌威尼斯网址开户 吾们 效劳 网站建造 移动应用 案例 报道 联系
咨询热线:13711534025

期待聆听您的声音

13711534025

不忽悠,不作恶,不欺诈;敬天理,存良知,思利他。
QQ咨询 QQ咨询 QQ咨询
广州总部 深圳 佛山 广西

与吾们一起分享美好

HTML5要牢记的安全小case

发布时间:2016-01-12 发布作者:老直营威尼斯网址开户 查阅次数:2083次 标签:HTML5

HTML5给开发人员带来了新的安全挑战。apple集团官网与Adobe集团官网之间的口水战带来对HTML 5命运的诸多猜测,尽管HTML 5的实现还有很长的路要走,但可以肯定的一点是,运用HTML 5的开发人员将需要为应用程序安全开发生命周期部署新的安全功能以应对HTML5带来的安全挑战。soHTML5将会对吾们需要覆盖的攻击面带来怎样的影响?本文将探讨AboutHTML 5几个要紧安全小case。

一、衣食父母端存储

    早期版本的HTML仅允许网站将cookies作为本地信息存储,而这些容量相对较小,仅适用于存储easy的档案信息或者作为存储在其他地位的数 据( 诸如会话ID)的标识符,Denim集团应用程序安全研究部门的主管Dan Cornell表示。然则,HTML5 LocalStorage则允许浏览器本地存储大量据库,允许使用新类型应用程序。

    “随之而来的风险就是,敏感数据可能被存储在本地用户work站,而物理访问或者破坏该work站的攻击者,就能够轻松获得敏感数据,”Cornell 表示,“这对于使用共享计算机的用户更好危险。”

    “从定义上来说,它真的只是能够在衣食父母端系统存储信息,”Rapid7集团官网的安全研究人员Josh Abraham表示,“so您就具备基于衣食父母端SQL注入攻击的潜在能力,或者可能您的某个衣食父母端的数据库是恶意的,当与生产系统同步时,则可能出现同步 小case,或者衣食父母端的潜在恶意数据将被插入到生产系统。”

    为了解决这个小case,开发人员需要能够验证数据是否为恶意的,这莫过易于 个很复杂的小case。

    对于这个小case的要紧性并不是一切人都赞同。Veracode集团官网首席 技术实现 官Chris Wysopal表示, 诸如web应用程序通过使用插件或者浏览器扩展存储数据衣食父母端就一直存在很多方法。

   “有很多已知的方法可以操控目上部署的HTML5 SessionStorage属性,但是准则最终细目时,这个小case才会解决,”Wysopal表示。

二、跨域通信

    而其他版本的HTML可能直允许JavaScript发出XML HTTP请求调用回原来的效劳器,而HTML5放宽了这个限制,XML HTTP请求可以发送给尽数允许这种请求的效劳器。易于 这般,如果效劳器不可信任的话,这也会带来严重安全小case。

    “ 诸如,我可以建立一个mashup(糅合,将两种如该使用公共或者私有数据库的web应用合并形成一个整合应用)通过 JSON(Javascript Object Notation)将第三方网站的比赛比分拉过来,”Cornell表示,“这个网站可能会发送恶意数据到我的用户浏览器正在运行的应用程序上。虽说 HTML5允许新类型的应用程序的建立,但如果开发人员在开始使用这些功能时,并不理解他们所建立的应用程序的安全意义,so将会给用户带来很大安全风险。”

   对于依赖于PostMessage()来编写应用程序的开发人员而言,必须仔细检查以确保信息是来源于BYL他们自己的网站,否则来自其他网站的恶意 代码可能会制造恶意信息,Wysopal补充说。这个功能本身并不噬喜全的,开发人员已经开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通讯。

   另一个相关小case是,万维网联盟目上为跨源资源共享策划供给了一种使用类似与跨域机制绕过同源政策的方法。

“IE部署的安全功能与Firefox、Chrome以及Safari都不同样,”他指出,“开发人员需要确保他们创建过于宽松访问把握列表的 危害,特别是因为某些参考代码目上非常不安全。

三、Iframe安全

   从安全角度来看,HTML5也有不错的功能, 诸如计划支持iframe的沙盒属性。

   “这个属性将允许开发者决定数据如何解译的方式,”Wysopal表示,“不幸的是,与大部分HTML一样,这个策划很可能被开发人员误解,很 可能因为不便于使用而被开发人员禁用。如果处理得当,这个功能将能够扶掖抵御恶意第三方广告或者防止不可信任始末重放。”




网站被黑了,怎么办?

更换域名和程序,怎样不被降权

吾们的地位

广州 广州市天河区岗顶百脑汇高技术大厦B塔27楼 020-6235 2949

深圳 深圳市南山区汉京万国大厦18A 159 8916 9178

广西 茂名市茂南区油城三路广西创业创新孵化基地B110 159 8916 9178

吾们的效劳

网站及移动应用 牛逼直营网站 APP开发 小程序开发 WeChat运营

系统应用开发 OA/ERP/CRM/HR系统开发 教学管理系统 电商系统 应用型软件系统定制开发

了解吾们

集团官网简介 联系吾们 吾们的案例 讯息报道

使用条款 隐私声明 Cookies

© 2009-2020 老直营威尼斯网址开户 版权一切 广ICP备16051058号

XML 地图 | Sitemap 地图