HTML5新特性安全的研究综述
HTML5新特性安全的研究综述
摘 要:HTML5的推广与应用带给了浏览器更多功能,属于Web应用最新标准。但同时HTML5新特性存在安全隐患,由不同新特性安全问题构成。文章结合功能不同对HTML5标签和表单、通信、离线应用的问题探究,将HTML5安全问题总结为不同类型,指出了HTML5安全研究今后发展,即:新特性安全性、恶意检验、新安全应用等。
关键词:HTML5;新特性;安全
如今,Web成为人们生活、工作重要组成部分,例如网购、银行业务、新闻观看、社交等。伴随着人们需求的多元化,HTML5的出现有效满足了人们多元化的需求。尽管HTML5应用形式更为多样化,但其安全性也随之出现,以往Web安全问题在HTML5条件下形成了新的发展。同时,XML HttpRequest2,Web Storage等新API引进了新的跨源、标签通信风险[1]。HTML5安全问题与浏览器有着密切联系,因此,各国纷纷对HTML5新特性安全展开研究。
1 HTML5新特性安全研究
笔者结合新特性功能差异分析其安全现状。跨站点脚本因其普遍性,可以作为其他侵入的决定条件,因此进行单独分析。另一方面,分析确保其完整性以及HTML5有关安全问题。
1.1 标签和表单
安卓平台HTML5 APP发现了存在XSS供给。因此,也应列为今后研究课题之一,例如:HTML5在移动终端、WebTV等平台安全、隐私保护、恢复力。HTML5对HTML解析器进行规范,对其新的内容展开定义,例如音视频标签,MathML等。同时,丰富原有表单、内嵌窗口属性。其内容不仅带有跨站点脚本威胁外,也会带有其他风险。Iframe的sandbox属性可以设定是否允许内嵌窗口执行脚本,进而让攻击人员展开UI欺骗过程中越过FrameBusting检验。HTML5增加表单功能也带来了新的风险,例如:autocomplete属性提供自动完成功能,让Web结合表单ID把输入信息储存在文档中,为用户提供方便,也与同源策略背道而驰,容易导致表单隐私外泄。不过,研发人员依然要在服务器终端对输入展开认证,忽略造成的安全风险。Formaction属性涵盖了form的action属性,侵入者如果可以对表单输入其属性,就能够操作表单提供的地址。同时,因为并非脚本注入,因此不能受到CSP的保护[2]。
HTML5新标签丰富性造成的安全问题也是多元化的,为侵入者越过防御提供了条件,也容易导致研发者应用过程中出现新的问题,例如资料外泄、表单注入。现阶段,新标签安全性问题想要展开系统的研究,具有一定困难,需要以打补丁方式展开,有待进一步研究其安全问题。例如各终端浏览器中的不同展现方式。
1.2 通信功能
1.2.1 postMessage API
立足于安全性问题考量,运营在相同浏览器的窗口间、标签页的通信存在不同影响因素;实际合理需求使不同站点内容可以在浏览器中交互。HTML5为跨文档信息机制创造了postMessage API,进而达到窗口通信、标签页功能。利用响应事件接受信息,经过检查信息来源判断是否需要科学处理。对此,一些人进行了研究,发现新型浏览器在设置postMessage技术过程中客户端通信协议发生安全问题;具体origin源认证发生漏洞,给了侵入者可乘之机。针对这一问题,提供跨文档消息输送形式SafePM确保安全性。
1.2.2 XMLHttpRequest2
XMLHttpRequest2 API为Ajax技术的应用创造了条件,作为其修改后的版本,XHR2具有跨源与进度事件功能。跨源支持也为CSRE提供了条件,经过XHR2目标的setRequestHeader设定Content-type,multi/form-data,把属性WithCredentials设定true,进而实现cookie重放展开攻击。
现阶段,不同地区对postMessageAPI与WebSocket安全性展开研究,同时得到了推广与应用。其中,对postMessage的分析包括研发人员安全使用与浏览器bug,以及其他安全问题中的展现与新恶意使用形式。XHR2基于XHR下进行提升,分析集中于跨源新特性带来的风险。通信API包含客户端和服务端,分析服务端达到安全性问题,也是其今后发展主导。
1.3 离线使用和保存
1.3.1 本地储存API
WebStorage作为HTML新增的本地储存有效形式,相对于cookie,WebStorage降低了通信流量,减少了被监听的风险。WebStorage应用单一的字符串键值对本地储存信息,具有简单简便的特点。不过,针对较大结构化数据储存具有一定困难。IndexedDB可以在客户端储存较大的结构化数据,同时