html5的安全特性,HTML5新特性安全的研究综述.doc

HTML5新特性安全的研究综述

HTML5新特性安全的研究综述

摘 要：HTML5的推广与应用带给了浏览器更多功能，属于Web应用最新标准。但同时HTML5新特性存在安全隐患，由不同新特性安全问题构成。文章结合功能不同对HTML5标签和表单、通信、离线应用的问题探究，将HTML5安全问题总结为不同类型，指出了HTML5安全研究今后发展，即：新特性安全性、恶意检验、新安全应用等。

关键词：HTML5；新特性；安全

如今，Web成为人们生活、工作重要组成部分，例如网购、银行业务、新闻观看、社交等。伴随着人们需求的多元化，HTML5的出现有效满足了人们多元化的需求。尽管HTML5应用形式更为多样化，但其安全性也随之出现，以往Web安全问题在HTML5条件下形成了新的发展。同时，XML HttpRequest2，Web Storage等新API引进了新的跨源、标签通信风险[1]。HTML5安全问题与浏览器有着密切联系，因此，各国纷纷对HTML5新特性安全展开研究。

1 HTML5新特性安全研究

笔者结合新特性功能差异分析其安全现状。跨站点脚本因其普遍性，可以作为其他侵入的决定条件，因此进行单独分析。另一方面，分析确保其完整性以及HTML5有关安全问题。

1.1 标签和表单

安卓平台HTML5 APP发现了存在XSS供给。因此，也应列为今后研究课题之一，例如：HTML5在移动终端、WebTV等平台安全、隐私保护、恢复力。HTML5对HTML解析器进行规范，对其新的内容展开定义，例如音视频标签，MathML等。同时，丰富原有表单、内嵌窗口属性。其内容不仅带有跨站点脚本威胁外，也会带有其他风险。Iframe的sandbox属性可以设定是否允许内嵌窗口执行脚本，进而让攻击人员展开UI欺骗过程中越过FrameBusting检验。HTML5增加表单功能也带来了新的风险，例如：autocomplete属性提供自动完成功能，让Web结合表单ID把输入信息储存在文档中，为用户提供方便，也与同源策略背道而驰，容易导致表单隐私外泄。不过，研发人员依然要在服务器终端对输入展开认证，忽略造成的安全风险。Formaction属性涵盖了form的action属性，侵入者如果可以对表单输入其属性，就能够操作表单提供的地址。同时，因为并非脚本注入，因此不能受到CSP的保护[2]。

HTML5新标签丰富性造成的安全问题也是多元化的，为侵入者越过防御提供了条件，也容易导致研发者应用过程中出现新的问题，例如资料外泄、表单注入。现阶段，新标签安全性问题想要展开系统的研究，具有一定困难，需要以打补丁方式展开，有待进一步研究其安全问题。例如各终端浏览器中的不同展现方式。

1.2 通信功能

1.2.1 postMessage API

立足于安全性问题考量，运营在相同浏览器的窗口间、标签页的通信存在不同影响因素；实际合理需求使不同站点内容可以在浏览器中交互。HTML5为跨文档信息机制创造了postMessage API，进而达到窗口通信、标签页功能。利用响应事件接受信息，经过检查信息来源判断是否需要科学处理。对此，一些人进行了研究，发现新型浏览器在设置postMessage技术过程中客户端通信协议发生安全问题；具体origin源认证发生漏洞，给了侵入者可乘之机。针对这一问题，提供跨文档消息输送形式SafePM确保安全性。

1.2.2 XMLHttpRequest2

XMLHttpRequest2 API为Ajax技术的应用创造了条件，作为其修改后的版本，XHR2具有跨源与进度事件功能。跨源支持也为CSRE提供了条件，经过XHR2目标的setRequestHeader设定Content-type，multi/form-data，把属性WithCredentials设定true，进而实现cookie重放展开攻击。

现阶段，不同地区对postMessageAPI与WebSocket安全性展开研究，同时得到了推广与应用。其中，对postMessage的分析包括研发人员安全使用与浏览器bug，以及其他安全问题中的展现与新恶意使用形式。XHR2基于XHR下进行提升，分析集中于跨源新特性带来的风险。通信API包含客户端和服务端，分析服务端达到安全性问题，也是其今后发展主导。

1.3 离线使用和保存

1.3.1 本地储存API

WebStorage作为HTML新增的本地储存有效形式，相对于cookie，WebStorage降低了通信流量，减少了被监听的风险。WebStorage应用单一的字符串键值对本地储存信息，具有简单简便的特点。不过，针对较大结构化数据储存具有一定困难。IndexedDB可以在客户端储存较大的结构化数据，同时