HTML5安全
0X01 概念
HTML做为Web的基本元素,其发展历史如下,现在最新的HTML5标准还在制订中,但主流的浏览器厂商已经支持了大部分的HTML5元素。
HTML 1.0——在1993年6月作为互联网工程工作小组(IETF)工作草案发布(并非标准):
HTML 2.0——1995年11月作为RFC 1866发布,在RFC 2854于2000年6月发布之后被宣布已经过时
HTML 3.2——1997年1月14日,W3C推荐标准
HTML 4.0——1997年12月18日,W3C推荐标准
HTML 4.01(微小改进)——1999年12月24日,W3C推荐标准
HTML 5——2014年10月28日,W3C推荐标准
HTML5相比HTML4有哪些改变呢?请移步https://rawgit.com/whatwg/html-differences/master/Overview.html
0X02 攻击
1. 可造成XSS的标签,HTML5中的<vedio><audio>标签有很多的on事件,如下表:
2. HTML5SEC项目中总结了很多HTML5相关的安全元素和属性,有点甚至不需要是ON**事件,也能造成XSS,详细分析请移步:
0X03 防护
1. <iframe>的sandbox属性,可以限定加载的iframe的权限
2. <a><area>的noreferrer属性,可以在访问这些链接时,HTTP头部中不带Referer属性,防止泄漏用户的信息
3. XSSFilter要考虑HTML5的这些新元素
0X04 References
1. 《白帽子讲Web安全》Capther6
2. HTML5Sec项目官网 http://html5sec.org/