HTML5安全

最新推荐文章于 2025-02-08 08:35:42 发布
最新推荐文章于 2025-02-08 08:35:42 发布
阅读量657 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/agent_peakey/article/details/44998851

HTML5安全

0X01 概念

         HTML做为Web的基本元素,其发展历史如下,现在最新的HTML5标准还在制订中,但主流的浏览器厂商已经支持了大部分的HTML5元素。

HTML 1.0——19936月作为互联网工程工作小组(IETF)工作草案发布(并非标准):

HTML 2.0——199511月作为RFC 1866发布,在RFC 285420006月发布之后被宣布已经过时

HTML 3.2——1997114日,W3C推荐标准

 

HTML 4.0——19971218日,W3C推荐标准

HTML 4.01(微小改进)——19991224日,W3C推荐标准

HTML 5——20141028日,W3C推荐标准

HTML5相比HTML4有哪些改变呢?请移步https://rawgit.com/whatwg/html-differences/master/Overview.html

 

0X02 攻击

1.      可造成XSS的标签,HTML5中的<vedio><audio>标签有很多的on事件,如下表:

2.      HTML5SEC项目中总结了很多HTML5相关的安全元素和属性,有点甚至不需要是ON**事件,也能造成XSS,详细分析请移步:

http://html5sec.org

 

0X03 防护

1.      <iframe>的sandbox属性,可以限定加载的iframe的权限

2.      <a><area>的noreferrer属性,可以在访问这些链接时,HTTP头部中不带Referer属性,防止泄漏用户的信息

3.      XSSFilter要考虑HTML5的这些新元素

 

0X04 References

1.      《白帽子讲Web安全》Capther6

2.      HTML5Sec项目官网 http://html5sec.org/

 

marshal2016
关注
HTML5安全详解
悦分享
07-04 156
HTML5诞生于2014年10月,它是目前最新的HTML规范。HTML5诞生的目的是为了迎合新时代Web环境的需求,在将来的日子里,它也将逐步替换HTML 4.01和XHTML 1.0标准,然而新功能也会伴随着新威胁。
HTML5安全攻防详析之完结篇:HTML5安全的改进
蒋宇捷的专栏
01-15 1万+
HTML5对旧有的安全策略进行了非常多的补充。        一、iframe沙箱        HTML5为iframe元素增加了sandbox属性防止不信任的Web页面执行某些操作,例如访问父页面的DOM、执行脚本、访问本地存储或者本地数据库等等。但是这个安全策略又会带来另外的风险,这很有趣,例如ClickJacking攻击里阻止JavaScript脚本的运行来绕过JavaScript的防御方
《关注HTML5安全
蒋宇捷的专栏
09-09 1万+
在今天的2012中国软件开发者大会上,我做了名为《关注HTML5安全》的主题演讲。我个人认为,随着HTML5的普及和发展,HTML5安全会成为近期带来的严重问题。之所以大家还没有感受到的原因是什么?1、目前HTML5应用还不普及 2、暂时还没有吸引攻击者的关注。        演讲摘要如下(来自优快云专题):        -----------        我首先介绍了从HTMLHTML
跨平台移动开发实战(十二)------HTML5安全
hyshucom
08-06 246
把应用的端扩展到mobile自然而然会带来安全的隐患,特别是对于我们基于HTML5来做跨平台的开发更是如此。HTML5提供了很多特性,各个平台都在努力的实现这些特性,开发者也努力地在使用这些特性,以此求得不一样地体验。然而,事情都有两面性,大多数web应用的安全措施都是基于传统的HTML,没有覆盖到HTML5的新特性,下面来看看由于HTML5新特性而带来的安全隐患: XSS CORS &amp...
《白帽子讲Web安全》| 学习笔记之HTML5安全
qq_42646885的博客
07-10 6129
第6章 HTML5安全 1、新标签的XSS HTML5中新增的一些标签和属性,使得XSS等Web攻击产生了新的变化。有安全研究员建立了一个HTML5 Security Cheatsheet项目。(链接:https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet或http://html5sec.org/) 2、iframe的sandbo...
HTML 5 安全
weixin_40270125的博客
05-18 707
新标签的XSS HTML5 定义了很多新的标签、事件,这有可能带来新的XSS攻击。 一些XSS Filter 如果建立了一个黑名单的话,则可能就不会覆盖到HTML5新增的标签和功能,从而避免发生XSS。 笔者曾经在百度空间做过一次测试,使用的是HTML5新增的<video>标签,这个标签可以在网页中远程加载一段视频。与<video>标签类似的还有<audio&g...
HTML5安全风险详析之一:CORS攻击
蒋宇捷的专栏
09-09 1万+
一、从SOP到CORS        SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示:        后来出现了CORS-CrossOrigin
HTML5安全风险详析之四:Web Worker攻击
蒋宇捷的专栏
10-23 1万+
一、WebWorker介绍        由于Javascript是单线程执行的,在执行过程中浏览器不能执行其它Javascript脚本,UI渲染线程也会被挂起,从而导致浏览器进入僵死状态。使用WebWorker可以将计算过程放入一个新线程里去执行将避免这种情况的出现。这样我们可以同时执行多个JS任务而不会阻塞浏览器,非常适合异步交互和大规模计算,这在以前是很难做到的。        下面一张图形
HTML5安全:CORS(跨域资源共享)简介
热门推荐
蒋宇捷的专栏
07-09 5万+
前言:像CORS对于现代前端这么重要的技术在国内基本上居然很少有人使用和提及,在百度或者Google上搜索CORS,搜到的中文文章基本都是另外一种卫星定位技术CORS的介绍,让我等前端同学情何以堪(对比起来,用Google搜到的国外文章,基本都是跨域资源共享的介绍,说明了前端技术在国内外环境和发展的巨大差距)。        我之前《用HTML5实现人脸识别》这篇文章中提到了“Face.com实现
【Web安全HTML5安全
RexHa的博客
10-17 1601
HTML5是互联网未来的大势所趋,随着越来越多的浏览器支持HTML5,攻击面也发生了新的变化。攻击者可以利用HTML5中的一些特性,绕过防御方案,达到攻击目的。
白帽子讲Web安全(四)HTML5 安全
weixin_39157582的博客
08-28 232
HTML5 安全
《白帽子讲Web安全》6-HTML5安全
CD的博客
03-30 511
第6章 HTML5安全
「第六章」HTML5安全
hacckjacking
01-22 337
「第二篇」客户端脚本安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * 优快云 * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
Html标签带来的安全隐患
weixin_34004750的博客
06-22 171
Html标签带来的安全隐患 作者:佚名  来源:www.hackbase.com   发布日期:2006-6-5   WWW服务是因特网上最重要的服务之一,提供给客户各种各样的信息资源,而把这种信息资源组织起来的一个很重要的东西就是Html超文本语言,然后经过应用的发展就出现了其他的如UBB等标签但是最终都是以Html代码来实现的。经过研究发现,即使是最安全安全代码(已经排除了通常所说的Xs...
HTML语言的安全开发
最新发布
2501_90443729的博客
02-08 1446
在Web应用中,安全问题主要来源于用户输入、浏览器解析与显示机制以及第三方元素的引入。在HTML安全开发过程中,开发者扮演着至关重要的角色。理解并应用安全开发原则、最佳实践和新兴技术,对于构建安全可靠的Web应用至关重要。随着网络威胁的不断演变,保持警惕,持续学习和改进安全策略,才能更好地保护用户的数据和隐私。只有在安全的环境下,互联网才能健康、可持续地发展。
html5安全特性,HTML5新特性安全的研究综述.doc
weixin_29230059的博客
06-04 354
HTML5新特性安全的研究综述HTML5新特性安全的研究综述摘 要:HTML5的推广与应用带给了浏览器更多功能,属于Web应用最新标准。但同时HTML5新特性存在安全隐患,由不同新特性安全问题构成。文章结合功能不同对HTML5标签和表单、通信、离线应用的问题探究,将HTML5安全问题总结为不同类型,指出了HTML5安全研究今后发展,即:新特性安全性、恶意检验、新安全应用等。关键词:HTML5;新特...
html页面访问安全控制,怎样检测前端页面的安全性?如何避免web页面攻击?
weixin_31154627的博客
06-04 644
WEB基本攻击大致可以分为三大类—— “资源枚举”、“参数操纵” 和 “其它攻击”资源枚举:遍历站点所有可访问的目录,然后把一些常见的备胎文件名(比如“sql.bak”、“index-副本.html”)一个个都枚举一下,如果运气好枚举到了就直接下载。参数操纵:包括了SQL注入、XPath注入、cgi命令执行,还有XXS和会话劫持等,xxs攻击指的是恶意攻击者往Web页面里插入恶意html代码,当用...
html+安全登录实现方法,使用Javascript或HTML进行安全SSL登录登录
weixin_34873655的博客
06-10 271
只是想知道哪些安全登录POST'ing数据更安全。我使用SSL来保护传输中的数据,并且使用SSL来管理密码服务器端的散列和篡改。使用Javascript或HTML进行安全SSL登录登录基本上,要么,Username:Password:或者// DEFINE FUNCTION TO REQUEST TO PORTAL PHP FILE HANDLING REQUESTSfunction phpReq...
HTML5 浪漫爱心表白源码
HTML5是一种用于构建和呈现网页内容的标记语言,它是第五代HTML,由万维网联盟(W3C)维护。HTML5为网页和网络应用程序的开发提供了一系列新的元素和API,增强了对多媒体内容的支持,改善了网络交互性,同时对本地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值