织梦123模板网-让建站变得如此简单! 登录 注册 签到领金币!

主页 | 如何升级VIP | TAG标签

当前位置: 主页>网站教程>建站知识> 关于HTML5的安全问题开发人员需要牢记
分享本文到:

关于HTML5的安全问题开发人员需要牢记

发布时间:03/11 来源:www.dede123.com.cn 浏览: 关键词:
用程序安全专家表明,HTML5给开发人员带来了新的安全应战。 
  苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸多猜想,虽然HTML 5的完成还有很长的路要走,但能够必定的一点是,运用HTML 5的开发人员将需求为运用程序安全开发生命周期布置新的安全功用以应对HTML5带来的安全应战。 
  那么HTML5将会对我们需求掩盖的进犯面带来怎么的影响?这篇文章将讨论关于HTML 5几个重要安全疑问。
  客户端存储 
  前期版别的HTML仅答应网站将cookies作为本地信息存储,而这些空间相对较小,仅适用于存储简略的档案信息或许作为存储在别的位置的数据(例如会话ID)的标识符,Denim集团运用程序安全研究部分的主管Dan Cornell表明。可是,HTML5 LocalStorage则答应浏览器本地存储许多据库,答应运用新类型运用程序。 
  “随之而来的危险即是,敏感数据也许被存储在本地用户工作站,而物理访问或许破坏该工作站的进犯者,就能够轻松取得敏感数据,”Cornell表明,“这关于运用同享计算机的用户更加危险。” 
  “从界说上来说,它真的仅仅能够在客户端体系存储信息,”Rapid7公司的安全研究人员Josh Abraham表明,“那么你就具有根据客户端SQL写入进犯的潜在能力,或许也许你的某个客户端的数据库是歹意的,当与生产体系同步时,则也许呈现同步疑问,或许客户端的潜在歹意数据将被刺进到生产体系。” 
  为了处理这个疑问,开发人员需求能够验证数据是不是为歹意的,这其实是个很杂乱的疑问。 
  关于这个疑问的重要性并不是所有人都附和。Veracode公司首席技能官Chris Wysopal表明,例如web运用程序经过运用插件或许浏览器拓展存储数据客户端就一向存在许多办法。 
  “有许多已知的办法能够控制现在布置的HTML5 SessionStorage特点,可是规范终究确守时,这个疑问才会处理,”Wysopal表明。 
  跨域通讯 
  而别的版别的HTML也许直答应JavaScript宣布XML HTTP恳求调用回本来的服务器,而HTML5放宽了这个约束,XML HTTP恳求能够发送给任何答应这种恳求的服务器。当然,假如服务器不行信赖的话,这也会带来严峻安全疑问。 
  “例如,我能够树立一个mashup(糅合,将两种以上运用公共或许私有数据库的web运用兼并构成一个结合运用)经过 JSON(Javascript Object Notation)将第三方网站的竞赛比分拉过来,”Cornell表明,“这个网站也许会发送歹意数据到我的用户浏览器正在运转的运用程序上。虽说 HTML5答应新类型的运用程序的树立,但假如开发人员在开始运用这些功用时,并不理解他们所树立的运用程序的安全意义,那么将会给用户带来很大安全危险。” 
  关于依赖于PostMessage()来编写运用程序的开发人员而言,必须仔细检查以保证信息是来源于他们自个的网站,不然来自别的网站的歹意代码也许会制作歹意信息,Wysopal补充说。这个功用本身并不是安全的,开发人员现已开始运用不一样的DOM(文档目标模型)/浏览器功用来仿效跨域通讯。 
  另一个相关疑问是,万维网联盟现在为跨源资源同享规划供给了一种运用相似与跨域机制绕过同源政策的办法。 
  “IE布置的安全功用与Firefox、Chrome以及Safari都不相同,”他指出,“开发人员需求保证他们创立过于宽松访问控制列表的损害,格外是因为某些参阅代码现在十分不安全。 
  Iframe安全 
  从安全角度来看,HTML5也有不错的功用,例如计划支撑iframe的沙盒特点。 
  “这个特点将答应开发者挑选数据怎么解译的方法,”Wysopal表明,“意外的是,与大多数HTML一样,这个规划很也许被开发人员误解,很也许因为不便于运用而被开发人员禁用。假如处理妥当,这个功用将能够协助抵挡歹意第三方广告或许防止不行信赖内容重放。” 
责任编辑:www.dede123.com.cn

当前文章网址:http://www.dede123.com.cn/yunying/513.html 转载请注明出处!

共有157人阅读,期待你的评论!发表评论
昵称: 网址: 验证码: 点击我更换图片
最新评论

本文标签

广告赞助

订阅获得更多模板