本文概述
- 跨域资源共享
- 跨域消息传递
- 更好的存储
- 结论思想
甚至在此之前, 史蒂夫·乔布斯(Steve Jobs)等名人技术专家也公开反对Flash。
随着Flash的消失和HTML5的兴起, 一个崭新的时代进入了一个时代, 那就是外观更好, 功能更好的网站, 它们与移动设备和PC兼容。
传输数据和接收数据也比以前更加简单。
但是, 它提出了需要克服的独特挑战。
这样做的好处是html5将跨浏览器的支持和功能提升到一个全新的水平。
文章图片
某些浏览器不支持单个网站元素, 因此不得不更改网站元素以保持外观与外观令人沮丧。
HTML5放弃了该要求, 因为所有现代浏览器都支持。
跨域资源共享 跨域资源共享(CORS)是html5最有影响力的功能之一, 也是预示错误和黑客攻击的可能性最大的功能。
CORS定义了标头, 以帮助站点定义起源并促进上下文交互。
使用html5时, CORS会使浏览器上的基本安全机制静音, 即称为” 同源起源规则” 。
在相同的来源策略下, 仅当两个网页具有相同的来源时, 浏览器才能允许该网页访问第二个网页中的数据。
文章图片
什么是起源?
来源是URI方案, 主机名和端口号的组合。此策略可防止恶意脚本执行和访问网页中的数据。
CORS通过允许不同站点访问数据以允许上下文交互来放宽此策略。
这可能会导致黑客接触敏感数据。
例如,
如果你已登录Facebook并保持登录状态, 然后访问另一个站点, 则攻击者可能会利用宽松的跨域策略来窃取信息并对你的Facebook帐户执行其希望做的任何事情。
稍微有点不高兴的是, 如果用户登录了他的银行帐户却忘记了注销, 则黑客可能会访问该用户的凭据, 他的交易, 甚至创建新交易。
浏览器通过存储用户详细信息, 使会话cookie处于打开状态以供利用。
黑客还可以与标头混为一谈, 以触发未经验证的重定向。
当浏览器接受不受信任的输入时, 可能会发生未经验证的重定向。依次转发转发请求。可以修改不受信任的URL, 以向恶意站点添加输入, 从而通过提供看起来与实际站点相同的URL来启动网络钓鱼诈骗。
未经验证的重定向和转发攻击也可以用于恶意制作URL, 该URL将通过应用程序的访问控制检查, 然后将攻击者转发给通常无法访问的特权功能。
这是开发人员应注意的事情, 以防止这些事情发生。
- 开发人员应确保将URL传递给打开。如果它们是跨域的, 则可能容易受到代码注入的攻击。
- 另外, 如果URL是相对的, 或者它们指定了协议, 请注意。相对网址未指定协议, 即我们不知道它是以HTTP还是https开头。浏览器假定两者都是正确的。
- 不要依赖Origin标头来进行访问控制检查, 因为它们很容易被欺骗。
好了, 你可以在浏览器中使用开发人员工具检查标题。
跨域消息传递 以前, 在浏览器中不允许跨域消息传递, 以防止跨站点脚本攻击。
【HTML5如何改变网络安全性()】这也阻止了网站之间的合法通信的发生, 这导致了如今大量的跨域消息传递。
Web消息传递允许不同的API轻松交互。
为防止交叉脚本攻击, 这是开发人员应该采取的措施。
他们应说明消息的预期来源
- 原始属性应始终进行交叉检查和数据验证。
- 接收页面应始终检查发送者的来源属性。这有助于验证接收到的数据确实是从预期位置发送的。
- 接收页面还应该执行输入验证, 以确保数据为所需格式。
- 交换的消息应解释为数据而非代码。
文章图片
HTML5允许跨多个窗口存储, 具有更高的安全性, 甚至在关闭浏览器后仍可以保留数据。无需浏览器插件即可进行本地存储。
这带来了不同的麻烦。
开发人员应注意以下事项, 以防止攻击者窃取信息。
- 如果网站存储了用户的密码和其他个人信息, 那么黑客可能会访问它。如果未加密, 则可以通过Web存储API轻松窃取此类密码。因此, 强烈建议对所有有价值的用户数据进行加密和存储。
- 此外, 许多恶意软件有效载荷已经开始扫描浏览器缓存和存储API, 以查找有关用户的信息, 例如交易和财务信息。
但是, 提供安全环境的大部分工作都在浏览器上。
如果有兴趣了解更多信息, 请查看” 1小时内学习HTML5″ 课程。
推荐阅读
- 没有为android.media.tv.action.INITIALIZE_PROGRAMS发送BroadcastReceiver通知
- 保护NodJS应用程序免受在线威胁的10种工具
- 如何测试和修复Heartbleed SSL漏洞()
- 如何在Ubuntu 18上安装GRR()
- 8种不同的Google警告消息以及它们为什么发生()
- 如何扫描GitHub存储库中的凭据()
- 22个免费的IT安全专家取证调查工具
- 如何获得免费的网站SSL证书(HTTPS)()
- 7项服务可帮助你修复Joomla黑客入侵的网站