HTML5安全

最新推荐文章于 2021-06-19 20:40:59 发布
最新推荐文章于 2021-06-19 20:40:59 发布
阅读量405 收藏
点赞数
分类专栏: web安全 # 白帽子讲WEB安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Code_Aape/article/details/109227203
版权

文章目录

HTML5安全

1. H5新标签

1.1 iframe的sandbox

<iframe>标签一直受人诟病。浏览器也在想办法限制<iframe>执行脚本的权限。
而H5中专门为<iframe>设置了sandbox属性,<iframe>将被视为一个独立的源,可以通过属性参数来支持更加精准的控制:

  • allow-same-origin:同源访问
  • allow-top-navigation:访问顶层窗口
  • allow-forms:提交表单
  • allow-scripts:执行脚本

诸如‘弹出窗口’这种行为,即使设置了allow-scripts,也不会被允许

1.2 Link Types: noreferrer

这是H5中,为<a> and <area>标签定义的新的Link Types,指定后,浏览器在请求该标签时,不在发送referer,因为通过referer可能会泄漏一下敏感信息

<a href=“xxx” rel=“noreferrer”>xxx</a>

1.3 Canvas的妙用

<Canvas> 不同于<img>标签只是远程加载一张图片,而是可以让js可以在页面中直接操作图片对象,也可以通过操作像素来构造出图片区域。开发者甚至可以在<canvas>中写一个小游戏。

<Canvas>甚至可以用来破解验证码。详细:《白帽子》p142.

2. 其他安全问题

2.1 Cross-Origin Resource Sharing

浏览器同源策略通过限制脚本的跨域请求,虽然解决了一定的安全问题,但是互联网的发展趋势是越来越开放的,而同源策略给web开发者带来了很多困扰。

W3C委员会制定了一个新的标准来解决日益迫切的跨域访问的问题:
简单来说,就是当www.a.com的一个页面发起一个跨域请求,请求地址为www.b.com的一个页面,如果www.b.com返回一个包含允许a网站访问的HTTP Header,那么这个跨域请求就会被通过。

具体细节和抓包分析:《白帽子》P145

Origin Header用于标记HTTP的“源”,来判断浏览器的请求是否来自一个合法的“源”。可以用于防范CSRF,它不像referer那么容易被伪造和清空。

2.2 postMessage —— 跨窗口传递消息

window这个对象几乎是不受同源策略限制的,可以利用window.name跨窗口、跨域来传递消息。
在H5中,为了丰富web开发者的能力,指定了postMessage这一新的API,postMessage允许每一个window(包括当前窗口、弹出窗口、iframe等)对象往其他窗口发送文本消息,从而实现跨窗口的消息传递

发送窗口:

<iframe src=“xxx” id=“iframe”></iframe>
<form id=“form”>
    <input type=”text” id=“msg” value=”Message to send“/>
    <input type=“submit />
</form>
<script>
    window.onload= function(){
        var win= document.getElementById(“iframe”).contentWindow;
        document.getElementById(”form“).onsubmit=function(e){
            win.postMessage(document.getElementById(”msg“).value);
            e.preventDefault();
        };
    };
</script>

接收窗口:

<b>this iframe is located on xxx</b>
<script>
    document.addEventlistener(“message”, function(e){
        document.getElementById(“test”).textContent = e.domain + “said:+ e.data;
    }, false);
</script>

在这个例子中:
发送窗口负责发送消息;
在接收窗口中,需要绑定一个message事件,监听其他窗口发来的消息。
这是两个窗口之间的一个“约定”,如果没有监听这个事件,则无法接收到消息。

在使用postMessage时,有两个安全问题需要注意。

  1. 在必要时,可以在接收窗口验证 Domain,甚至验证URL,以防止来自非法页面的消息。代码中实现一次同源策略的验证过程
  2. 在本例中,接收的消息写入textContent,但在实际应用中,如果将消息写入innerHTML,甚至直接写入 script中,则可能会导致DOM based XSS的产生。根据“Secure By Default”原则,在接收窗口不应该信任接收到的消息,而需要对消息进行安全检查。

2.3 Web Storage

[暂略]

5mack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
事件之HTML5事件
xiaoyangzhu的博客
12-22 909
一 定义 DOM 规范并未涵盖浏览器都支持的所有事件。很多浏览器根据特定的用户需求或使用场景实现了 自定义事件。HTML5 详尽地列出了浏览器支持的所有事件 二 事件 1、contextmenu 事件 定义:以专门用于表示何时该显示上下文菜单,从而允许开发者取消默认的上下文菜单并提供自定义菜单 事件冒泡:只要给 document 指定一个事件处理程序就可以处理页面上的所有同类事件。事件目标是触发操作的元素。 事件取消 在 DOM 合规的浏览器中使用 event.preventDefaul.
HTML5之postMessage和addEventListener实现<iframe>跨域通信
MOONCOM的博客
11-16 3640
使用postMessage实现跨域的前提条件是一个页面通过调用另一个页面,示例如下所示: 在这个示例中,通过outter.html调用inner.html 这是outter.html function outmethod(){ var value=document.getElementById("outtext").value; document.getElementById("if
关于HTML 5几个重要安全问题
fstudio
12-06 948
关于HTML 5几个重要安全问题 HTML 5有两大特点:首先,强化了Web网页的表现性能。其次,追加了本地数据库等Web应用的功能。 应用程序安全专家表示,HTML5给开发人员带来了新的安全挑战。苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸多猜测,尽管HTML 5的实现还有很长的路要走,但可以肯定的一点是,运用HTML 5的开发人员将需要为应用程序安全开发生命周
关于浏览器事件addEventListener()处理小记
RexingLeung的博客
03-27 801
前言 当浏览器与对象 , 元素发生互动时 , 浏览器会产生对应的事件 , 例如 : 浏览器加载完文档 , 用户把鼠标指针移动超链接上或者敲击键盘等 , 浏览器都会产生事件 , 而且JavaScript还可以对一些特定类型的事件进行函数绑定以做一些自定义的事件 EventTarget.addEventListener() EventTarget.addEventListener() 方法将指定...
HTML addEventListener() 方法和attachEvent()区别分析
ssisse的博客
05-06 3908
本文转自:http://www.runoob.com/jsref/met-element-addeventlistener.html 语法 element.addEventListener(event, function, useCapture) 参数值 参数 描述 event 必须。字符串,指定事件名。 注意: 不要使用 "on" 前缀。 例
HTML5安全风险详析
03-01
它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。SOP就是SameOriginPolicy同源策略,指一个域的文档或脚本,不能获取或修改...
浏览器魔术 html5安全研究 html欺骗
最新发布
04-20
"浏览器魔术 html5安全研究 html欺骗"这个主题聚焦于如何利用HTML5进行高级浏览器操作,并探讨了与之相关的安全性问题,特别是HTML欺骗。 HTML5引入了许多新的元素和API,比如Canvas、Web Storage、WebSocket等,...
html5 sandbox,”基情“无限的IE10和HTML5
weixin_35057850的博客
06-19 108
最近刷微博刷得有点过了,以至于我只想到这个标题。今晚一直在看IE Blog,发现了很多关于IE10的新特性介绍,而且有些特性还是挺激动人心的。我以为,IE10比IE9更具革命性,毕竟IE10是仗依着即将发布的Window8和Window Phone两个重要操作系统出来混的。之前一直很少会关心IE浏览器,但是我一想到如今移动端对HTML5,CSS3给力支持的如此动人的景象,可能以后会被Window ...
html5 sandbox,Chrome 5 率先支持 @sandbox HTML 5 功能
weixin_39765100的博客
06-19 165
对于网页开发者来说,最近刚刚发布的 Chrome 5.0 稳定版还加入了一个新的 HTML 5功能——@sandbox,该功能的作用就是允许网页开发者降低他们的部分网页权限,方法很简单,给 iframes 框架加上 sandbox 属性即可,目前 Chrome 是唯一支持该功能的浏览器。比如上面这段代码就是典型的在 iframe 框架中使用 sandbox(沙箱)属性的例子,当浏览器渲染这个 un...
跨平台移动开发实战(十二)------HTML5安全
hyshucom
08-06 171
把应用的端扩展到mobile自然而然会带来安全的隐患,特别是对于我们基于HTML5来做跨平台的开发更是如此。HTML5提供了很多特性,各个平台都在努力的实现这些特性,开发者也努力地在使用这些特性,以此求得不一样地体验。然而,事情都有两面性,大多数web应用的安全措施都是基于传统的HTML,没有覆盖到HTML5的新特性,下面来看看由于HTML5新特性而带来的安全隐患: XSS CORS &amp...
5个html5安全性问题
weixin_34348174的博客
12-27 656
2019独角兽企业重金招聘Python工程师标准>>> ...
常见WEB漏洞:HTML5安全与防御
weixin_30333885的博客
05-13 489
  常见WEB漏洞:HTML5安全与防御   1、HTML5概述   HTML5 是定义 HTML 标准的最新的版本,5的原因是它是HTML的第五次重大修改,标准于14年10月29日完成。作为HTML的升级版,它有更大的技术集,引入了新的标签、属性、方法和功能等,允许更多样化和强大的网站和应用程序。   比如说新增了<section>, <article>, <...
html5安全风险详细,HTML5安全攻防详细解说
weixin_36398921的博客
06-19 512
HTML5安全攻防详细解说HTML5对旧有的安全策略进行了非常多的补充。HTML5为iframe元素增加了sandbox属性防止不信任的Web页面执行某些操作,例如访问父页面的DOM、执行脚本、访问本地存储或者本地数据库等等。以下是小编为大家搜索整理的HTML5安全攻防详细解说,希望能给大家带来帮助!更多精彩内容请及时关注我们应届毕业生考试网!一、iframe沙箱HTML5为iframe元素增加了...
html5 安全攻防
clh604的专栏
01-16 751
http://blog.csdn.net/hfahe/article/details/8507643
app安全测试和H5测试
weixin_44863926的博客
04-23 1715
目录 安全风险分析 客户端面临的主要风险 app的安全主要从:①客户端安全②通信安全③服务端的安全 测试开展---反编译 一、图片资源获取 二、XML资源获取 三、代码资源获取 dex2jar用法: 测试开展--二次打包 测试开展--数据安全 密码存储原理: 检测方法 Logcat日志 测试开展--键盘安全风险 键盘劫持测试 测试开展---账号登录/会话超时 账号...
HTML5代替Cookie? HTML5本地存储安全
精彩人生
03-13 605
HTML5本地存储出现以前,WEB数据存储的方法已经有很多,比如HTTP Cookie,IE userData,Flash Cookie,Google Gears。其实再说细点,浏览WEB的历史记录也算是本地存储的一种方式。到目前位置,HTML5本地存储方式已经获得了广泛的支持,其中支持的浏览器包括:IE 8+、FF 3.5+、Safari 4+、Chrome 4+、Opera 10.5+,手机
html5安全风险详细,HTML 5新功能出现新的安全风险
05-16
以下是一些常见的HTML5安全风险: 1. 跨站脚本攻击(XSS):HTML5中的许多新功能都是使用JavaScript编写的,并且很容易被黑客利用来注入恶意代码。例如,使用Web Sockets进行实时通信时,黑客可以通过发送恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值