HTML5安全

HTML5安全

0X01 概念

         HTML做为Web的基本元素,其发展历史如下,现在最新的HTML5标准还在制订中,但主流的浏览器厂商已经支持了大部分的HTML5元素。

HTML 1.0——19936月作为互联网工程工作小组(IETF)工作草案发布(并非标准):

HTML 2.0——199511月作为RFC 1866发布,在RFC 285420006月发布之后被宣布已经过时

HTML 3.2——1997114日,W3C推荐标准

 

HTML 4.0——19971218日,W3C推荐标准

HTML 4.01(微小改进)——19991224日,W3C推荐标准

HTML 5——20141028日,W3C推荐标准

HTML5相比HTML4有哪些改变呢?请移步https://rawgit.com/whatwg/html-differences/master/Overview.html

 

0X02 攻击

1.      可造成XSS的标签,HTML5中的<vedio><audio>标签有很多的on事件,如下表:

2.      HTML5SEC项目中总结了很多HTML5相关的安全元素和属性,有点甚至不需要是ON**事件,也能造成XSS,详细分析请移步:

http://html5sec.org

 

0X03 防护

1.      <iframe>的sandbox属性,可以限定加载的iframe的权限

2.      <a><area>的noreferrer属性,可以在访问这些链接时,HTTP头部中不带Referer属性,防止泄漏用户的信息

3.      XSSFilter要考虑HTML5的这些新元素

 

0X04 References

1.      《白帽子讲Web安全》Capther6

2.      HTML5Sec项目官网 http://html5sec.org/

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值