《白帽子讲web安全》第6章 HTML 5安全

最新推荐文章于 2024-10-06 12:58:38 发布
最新推荐文章于 2024-10-06 12:58:38 发布
阅读量173 收藏
点赞数
分类专栏: 读书笔记 文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37865160/article/details/117322853
版权
本文探讨了HTML5的革新,如video/audio标签、iframe sandbox、LinkTypes和Canvas的安全应用,同时关注Cross-OriginResourceSharing、PostMessage和WebStorage潜在的安全隐患。
摘要由CSDN通过智能技术生成

HTML5:是W3C制定的新一代HTML语言的标准,定义了很多新标签、新事件。

一、HTML 5新标签

<video>、<audio>等标签,需要加入XSS filter的黑名单中。

iframe的新属性sandbox:<iframe>加载的内容会被视为一个独立的“源”,其中的脚本将被禁止执行。有四种值可以选择:allow-same-origin、allow-top-navigation、allow-forms、allow-scripts。

Link Types:noreferrer:为<a>和<area>标签定义了一个新的Link Types:noreferrer。

Canvas:让JS可以在页面中直接操作图片对象,也可以操作像素,构造出图片区域;其强大的功能甚至可以用来破解验证码,大大降低了攻击门槛。

二、其他安全问题:

Cross-Origin Resource Sharing:尽量不使用通配符*,使用更多HTTP header做更精确的控制。

PostMessage 跨窗口传递消息:postMessage允许每一个window(包括当前窗口、弹出窗口、iframes等)对象往其他的窗口发送文本消息,从而实现跨窗口的消息传递,这个功能是不受同源策略控制的,但是可能会导致DOM based XSS产生。

Web Storage:就像一个非关系型数据库,由key-value对组成,可以通过JS对其进行操作。分为Session storage和Local storage,Session storage关闭浏览器就会失效,而Local storage一直存在。

安全隐患:攻击者可能会将恶意代码保存在Web storage中,从而实现跨页面攻击。

三、扩展知识

浏览器存储信息的方式:

  1. Cookie:用于保存登录凭证和少量信息,其最大长度的限制决定了不可能在cookie中存储太多的信息
  2. Flash Shared Object:Adobe自己的功能,不是一个通用化标准。
  3. IE UserData:微软自己的功能,不是一个通用化标准。

Web storage:W3C委员会制定的本地存储功能。

 

 

hellomq^_^
关注
专栏目录
白帽子Web安全》6-HTML5安全
CD的博客
03-30 465
第6 HTML5安全
HTML 5 安全
weixin_40270125的博客
05-18 651
新标签的XSS HTML5 定义了很多新的标签、事件,这有可能带来新的XSS攻击。 一些XSS Filter 如果建立了一个黑名单的话,则可能就不会覆盖到HTML5新增的标签和功能,从而避免发生XSS。 笔者曾经在百度空间做过一次测试,使用的是HTML5新增的<video>标签,这个标签可以在网页中远程加载一段视频。与<video>标签类似的还有<audio&g...
<转载>根据用户输入的密码判断安全级别
weixin_40458518的博客
09-09 1900
根据用户输入的密码判断安全级别: 低级密码:包含单纯的数字或字母,长度小于等于8。 中级密码:必须包含数字、字母或特殊字符(仅限:~!@#$%^&*()_=-/,.?<>;:[]{}|\)中任意两种,长度大于8。 高级密码:必须包含数字、字母及特殊字符(仅限:~!@#$%^&*()_=-/,.?<>;:[]{}|\)中的3种,长度大于16。 注意:此例转载于实体书籍《Python快乐编程:基础入门》的第4字符串的小案例,版本归原作者所有。 代码如下: # 字符分类
白帽子Web安全(第 6 HTML 5 安全
sports-boy的博客
08-09 200
第 6 HTML 5 安全 HTML 5 是 W3C 制定的新一代 HTML 语言的标准。 6.1 HTML 5 新标签 6.1.1 新标签的 XSS HTML 5 定义了很多新标签、新事件,这有可能带来新的 XSS 攻击。 一些新 XSS Felter 如果建立了一个黑名单的话,则可能就不会覆盖到 HTML 5 新增的标签和功能,从而避免发生 XSS 。 HTML 5 中新增的一些标签和属性,使得 XSS 等 Web 攻击发生了新的变化,为了总结这些变化,有安全研究者建立了一个 HTML 5 Secu
白帽子web安全》第1 我的安全世界观
询昵的博客
05-27 569
一、基础知识 “Hacker“ :黑客 “exploit” :黑客们使用的漏洞利用代码 “Script kids”:脚本小子 ,只懂得编译别人的代码,自己没有动手能力 ACL:访问控制列表 XSS:跨站脚本攻击 安全问题的本质是信任问题,安全是一个持续的过程 二、安全三要素 安全三要素:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。 机密性要求保护数据内容不能泄露,加密是实现机密性要求的常见手段。 完整性则要求保护数据内容是完
白帽子web安全(精写含思维导图)
加油~
06-06 7477
安全从业必读
白帽子web安全】第六 HTML5安全
Sunny_Ducky的博客
04-29 206
笔记《白帽子Web安全》吴翰清
热门推荐
繁星点点~
03-13 1万+
第一篇:世界观安全第一:我的安全世界观一个网站的数据库,在没有任何保护的情况下,数据库服务端口是允许任何人随意连接的;在有了防火墙的保护后,通过ACL可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内,从而杜绝了绝大部分的攻击来源。1.1.3Web安全的兴起常见攻击:SQL注入,XSS(跨站脚本攻击)“破坏往往比建设容易”,但凡事都不是绝对的。一般来说,白帽子选择的...
白帽子Web安全(第 8 文件上传漏洞)
sports-boy的博客
08-10 178
第 8 文件上传漏洞 8.1 文件上传漏洞概述 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,有时候几乎没有什么技术门槛。 文件上传功能本身是一个正常业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器。所以“文件上传”本身没有问题,但有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 文件上传后导致的常见安全问题一般有: 上传文件是 Web 脚本语言,服务器
白帽子浏览器安全.钱文祥(带详细书签).pdf
03-08
1.6 “白帽子”与浏览器厂商的联手协作 9 1.7 全书概览 10 1.8 本小结 12 2 浏览器中常见的安全概念 13 2.1 URL 13 2.1.1 URL的标准形式 15 2.1.2 IRI 16 2.1.3 URL的“可视化”问题——字形欺骗钓鱼攻击 ...
白帽子Web安全 》 随手记(一)
ai_64的博客
04-04 2033
第一遍阅读这本书是在今年春节,那时读得太匆忙,加上对Web上存在的威胁了解不多,那时并不觉这本书较同类书籍有什么特别之处。 时隔3个月第二次阅读,醍醐灌顶,特别是解原理的部分,深入浅出,很好的梳理了各个知识点。 毫无疑问,这本书不久我还会读第三遍,不愧为安全从业必读书籍。 这本书的地位: 这本书在安全界地位非常高。首先这本书出版时间是2012年,时间比较早, ...
分享笔记1 之《白帽子web安全
m0_46583081的博客
12-06 438
分享笔记(一)之《白帽子web安全
白帽子Web安全-服务器端应用安全
007的专栏
07-28 452
1.注入攻击 注入攻击的本质,是把用户输入的数据当做代码执行。两个关键条件:一是用户能够控制输入,二是原本程序要执行的代码,拼接了用户输入的数据。 1.1SQL注入 SQL注入,是构造SQL执行语句拼接在输入参数中,从而执行SQL。若Web服务器开启了错误回显,则会披露敏感信息,为攻击者提供更大便利。 SQL盲注,是在服务器没有错误回显时完成的注入攻击。常见验证方法...
网络安全 网络安全的主要领域 安全威胁 防护技术 安全策略 未来趋势
weixin_42462436的博客
10-03 1411
随着智能手机和平板电脑的广泛使用,移动设备的安全(如数据加密、设备丢失保护等)也成为重点。由国家级或高级黑客组织发起的持续性、高度隐蔽的网络攻击,通常以窃取敏感信息为目的。使用加密、访问控制、数据备份等手段来保护信息免受未经授权的访问、修改或删除。包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术的使用。保证操作系统和相关服务的安全,包括权限控制、补丁管理、系统日志监控等。利用全球收集的安全信息和分析工具,提前识别并防御潜在的威胁。关注对虚拟化平台、API安全、数据隔离和访问管理的控制。
前置机、跳板机、堡垒机:安全运维领域的“黄金三角”
拉格朗日的学习笔记
09-28 982
为了确保数据的安全性、提升系统的可靠性和性能,企业需要采用一系列先进的设备和系统来构建坚固的IT防御体系。其中,前置机、跳板机和堡垒机作为关键组件,各自在网络安全和运维管理中发挥着不可替代的作用。
英文论文安全的免费查重网站
最新发布
hallo128的博客
10-06 486
不过请注意,免费工具通常只能提供基础查重功能,对于学术论文的全面查重,付费工具(如Turnitin)会更加准确和可靠。特点: 提供简单易用的免费查重服务,支持英文文本查重。特点: 免费查重工具,可以通过粘贴文本或上传文件进行查重。特点: 集成了语法检查和查重功能,免费版查重不支持大篇幅的文档,可以用来初步检测论文的相似度。特点: 免费版允许每天进行一次查重(限1000字),可以通过复制粘贴或上传文件的方式来检测。安全性: 网站声明不会存储用户的文档,但出于安全考虑,建议在提交前进行适当处理。
等保测评:企业数字安全的坚实盾牌
w13359990065的博客
09-30 1790
据权威机构统计,未通过等保测评的企业在遭遇网络安全事件时,其数据泄露风险高出已通过企业近30%,这不仅直接威胁到企业的核心资产安全,还可能导致品牌信誉的严重受损。以某知名电商企业为例,因忽视等保测评,其支付系统曾遭受黑客攻击,导致大量用户信息泄露,最终不仅面临巨额罚款,还失去了大量客户的信任,市场份额一落千丈。以某知名电商企业为例,其在一次等保测评中发现,其支付系统存在一处严重的SQL注入漏洞,该漏洞允许攻击者通过构造特定的输入参数,绕过系统验证,直接访问数据库,进而获取敏感信息。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 1076
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值