看到这个章节莫名鸡冻了下,仿佛在看到未来
html5还在普及阶段吧,在移动互联网时代h5被寄予厚望。相信对应的安全问题也会书写更多篇章,不会仅仅限于这本白帽子。
首先html5的新标签如video audio等为xss防御的标签过滤带来了变化。
在iframe方面,增加了sandbox精准控制iframe的源策略。
html5支持实现a标签 不发reffer,那以前依赖了refer check的一些策略要考虑到这种
canvas的能力已经可以好window的 gdi接口匹敌了,那么在破解验证码方面比较得力了。
cross origin resource sharing
web开发者为了支持正常功能的开发也在实现一些“合法”的跨域手段。
http协议里支持了origin heaer表示自己的来源,交给服务器决定这个来源的合法性。以鹅厂为例qq\qzone\pengyou\paipai\tenpay都是自己的业务,这些源之间要建立互信机制就依赖这个。
服务器返回access-control-allow-origin等一系列的跨域返回标准。
h5提供一个新api:postMessage实现跨窗口的消息传递。目标iframe可以接受任何地方投递过来的mssage,接受到message的时候需要做验证,特别是把得到的message放入html代码里的时候,不小心就会出现dom based xss
过去浏览器存放数据的方式有三种:cookie,flash shared object,ie user data.cookie存储空间有限、而后两种并不是通用的。
h5带来了web storage。也分session和本地的两种,且kv型存储。
也受同源策略的影响。
web storage的特点以及开发者如何利用这个特性,为攻击者提供辅助手段的想象空间还是挺大的。
977
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
