HTML5安全攻防詳細(xì)解說(shuō)

　　HTML5對(duì)舊有的安全策略進(jìn)行了非常多的補(bǔ)充。HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁(yè)面執(zhí)行某些操作，例如訪(fǎng)問(wèn)父頁(yè)面的DOM、執(zhí)行腳本、訪(fǎng)問(wèn)本地存儲(chǔ)或者本地?cái)?shù)據(jù)庫(kù)等等。以下是小編為大家搜索整理的HTML5安全攻防詳細(xì)解說(shuō)，希望能給大家?guī)��?lái)幫助!更多精彩內(nèi)容請(qǐng)及時(shí)關(guān)注我們應(yīng)屆畢業(yè)生考試網(wǎng)!

　　一、iframe沙箱

　　HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁(yè)面執(zhí)行某些操作，例如訪(fǎng)問(wèn)父頁(yè)面的DOM、執(zhí)行腳本、訪(fǎng)問(wèn)本地存儲(chǔ)或者本地?cái)?shù)據(jù)庫(kù)等等。但是這個(gè)安全策略又會(huì)帶來(lái)另外的風(fēng)險(xiǎn)，這很有趣，例如ClickJacking攻擊里阻止JavaScript腳本的運(yùn)行來(lái)繞過(guò)JavaScript的防御方式。

　　二、CSP內(nèi)容安全策略

　　XSS通過(guò)虛假內(nèi)容和誘騙點(diǎn)擊來(lái)繞過(guò)同源策略。 XSS攻擊的核心是利用了瀏覽器無(wú)法區(qū)分腳本是被第三方注入的，還是真的是你應(yīng)用程序的一部分。CSP定義了Content-Security-Policy HTTP頭來(lái)允許你創(chuàng)建一個(gè)可信來(lái)源的白名單，使得瀏覽器只執(zhí)行和渲染來(lái)自這些來(lái)源的資源，而不是盲目信任服務(wù)器提供的所有內(nèi)容。即使攻擊者可以找到漏洞來(lái)注入腳本，但是因?yàn)閬?lái)源不包含在白名單里，因此將不會(huì)被執(zhí)行。

　　XSS攻擊的原理

　　三、XSS過(guò)濾器

　　Chrome、Safari這樣的現(xiàn)代瀏覽器也構(gòu)建了安全防御措施，在前端提供了XSS過(guò)濾器。例如http://test.jiangyujie.com/?text=

　　在Chrome中將無(wú)法得到執(zhí)行，如下圖所示。

　　四、其他

　　另外HTML5的應(yīng)用程序訪(fǎng)問(wèn)系統(tǒng)資源比Flash更受限制。

　　最后，關(guān)于HTML5專(zhuān)門(mén)的安全規(guī)范目前還在討論中，有的人希望分散到HTML5規(guī)范的各個(gè)章節(jié)，有的人希望單獨(dú)列出，目前沒(méi)有單獨(dú)的內(nèi)容，因?yàn)椴粌H要考慮Web App開(kāi)發(fā)者的安全，還要考慮實(shí)現(xiàn)HTML5支持的廠(chǎng)商，對(duì)它們進(jìn)行規(guī)范和指導(dǎo)。

【HTML5安全攻防詳細(xì)解說(shuō)】相關(guān)文章：

HTML5安全攻防知識(shí)07-14

英語(yǔ)介詞短語(yǔ)詳細(xì)解說(shuō)04-16

日語(yǔ)專(zhuān)八古典語(yǔ)法詳細(xì)解說(shuō)05-03

詳細(xì)解說(shuō)Linux操作系統(tǒng)的啟動(dòng)步驟03-21

:公共英語(yǔ)三級(jí)最詳細(xì)解說(shuō)07-27

科目三實(shí)際道路考試技巧詳細(xì)解說(shuō)03-29

最新駕考科目二側(cè)方停車(chē)詳細(xì)解說(shuō)03-20

一級(jí)建造師報(bào)考條件詳細(xì)解說(shuō)07-17

HTML5是什么07-21