请选择 进入手机版 | 继续访问电脑版

HTML5星空

我们应注意的HTML5四大安全漏洞

[复制链接]
发表于 2013-10-30 16:01:56 | 显示全部楼层 |阅读模式
“虽然,HTML5对加强网站互动性的新功能有着一定的作用和贡献,但是对于不怀好意者,HTML5的“漏洞”更容易成为他们的攻击目标。”也不记得是在哪本书上看到的这段话,虽然很简短,但是却发人深省,使我们这些开发者不得不警醒,到底html5有哪些漏洞容易被攻击呢?这不仅对html5很重要,而且对于我们今后的开发工作也很重要,这里就为大家简单的描述一些html5的漏洞,希望大家今后能够多加注意,谨防被攻击。


1、点击劫持
点击劫持,大家很熟悉的一种攻击方式,点击劫持就是窃取目标的鼠标按钮点击,然后将点击定向到攻击者所指定的其他页面,这样被攻击者就在糊里糊涂的情况下点击了隐藏的链接。对于防范点击劫持,最好的方法是采取Framekilling的技术。但是html5新增的沙盒属性会让网站停止执行java脚本,这样的做法虽然比较安全,但是会抵消目前对于点击劫持最好的防御措施。


2、桌面攻击
这里的桌面攻击指的是html5的新功能---桌面通知,这个新功能出现在浏览器之外的弹出窗口,带来了很不错的交互方式,但是桌面通知带来的可能是社会工程学攻击,比如最常见的网络钓鱼或者假冒杀毒软件等,也是很危险的一个隐患。


3、定位攻击
地理定位这项新功能是html5所有新功能中最受瞩目的一个,出于对保护隐私的角度考虑,网站必须得到用户允许才能进行定位,但是一些Vista的用户帐户控制,Android的应用程序权限,还有无效的HTTPS凭证等,这些需要用户作决定的安全措施几乎没有任何效果。而一旦有了授权,网站不仅可以知道受害者的位置,而且还可以在用户移动时对其进行实时追踪。


4、表单篡改
另一个安全隐患就是攻击者可以在被注入JavaScript的网站(例如XSS攻击)中更改该网页上的表单行为,这样攻击者就能将用户的身份认证信息发送到攻击者自己的网站。


通过以上讲解Html5的漏洞对于开发者来说是比较致命的,所以这就告诫大家在今后html5的开发工作中需要多加注意。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快讯
发布主题 快速回复 返回列表

     京ICP备14042305号

html5star team © 2012-2013 html5星空 Comsenz Inc.

GMT+8, 2017-11-25 02:39 , Processed in 0.092359 second(s), 29 queries .

快速回复 返回顶部 返回列表