亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

HTML5對安全的改進 HTML5安全攻防詳析終結(jié)篇

  發(fā)布時間:2015-09-27 10:26:38   作者:佚名   我要評論
HTML5對舊有的安全策略進行了非常多的補充。HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執(zhí)行某些操作,例如訪問父頁面的DOM、執(zhí)行腳本、訪問本地存儲或者本地數(shù)據(jù)庫等等。

HTML5對舊有的安全策略進行了非常多的補充。

一、iframe沙箱

HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執(zhí)行某些操作,例如訪問父頁面的DOM、執(zhí)行腳本、訪問本地存儲或者本地數(shù)據(jù)庫等等。但是這個安全策略又會帶來另外的風險,這很有趣,例如ClickJacking攻擊里阻止JavaScript腳本的運行來繞過JavaScript的防御方式。

二、CSP內(nèi)容安全策略

XSS通過虛假內(nèi)容和誘騙點擊來繞過同源策略。 XSS攻擊的核心是利用了瀏覽器無法區(qū)分腳本是被第三方注入的,還是真的是你應用程序的一部分。CSP定義了Content-Security-Policy HTTP頭來允許你創(chuàng)建一個可信來源的白名單,使得瀏覽器只執(zhí)行和渲染來自這些來源的資源,而不是盲目信任服務器提供的所有內(nèi)容。即使攻擊者可以找到漏洞來注入腳本,但是因為來源不包含在白名單里,因此將不會被執(zhí)行。

XSS攻擊的原理

三、XSS過濾器

Chrome、Safari這樣的現(xiàn)代瀏覽器也構(gòu)建了安全防御措施,在前端提供了XSS過濾器。例如http://test.jiangyujie.com/?text=</div><script>alert(1)</script>在Chrome中將無法得到執(zhí)行,如下圖所示。

四、其他

另外HTML5的應用程序訪問系統(tǒng)資源比Flash更受限制。

最后,關(guān)于HTML5專門的安全規(guī)范目前還在討論中,有的人希望分散到HTML5規(guī)范的各個章節(jié),有的人希望單獨列出,目前沒有單獨的內(nèi)容,因為不僅要考慮Web App開發(fā)者的安全,還要考慮實現(xiàn)HTML5支持的廠商,對它們進行規(guī)范和指導。

關(guān)于HTML5安全攻防總結(jié)的八篇文章到此就結(jié)束了,希望對大家了解、學習HTML5安全問題有所幫助。

相關(guān)文章

最新評論