“從定義上來說，它真的只是能夠在客戶端系統(tǒng)存儲(chǔ)信息，”Rapid7公司的安全研究人員Josh Abraham表示，“那么你就具備基于客戶端SQL注入攻擊的潛在能力，或者可能你的某個(gè)客戶端的數(shù)據(jù)庫是惡意的，當(dāng)與生產(chǎn)系統(tǒng)同步時(shí)，則可能出現(xiàn)同步問題，或者客戶端的潛在惡意數(shù)據(jù)將被插入到生產(chǎn)系統(tǒng)。”

　　

    為了解決這個(gè)問題，開發(fā)人員需要能夠驗(yàn)證數(shù)據(jù)是否為惡意的，這其實(shí)是個(gè)很復(fù)雜的問題。

　　

    對(duì)于這個(gè)問題的重要性并不是所有人都贊同。Veracode公司首席技術(shù)官Chris Wysopal表示，例如web應(yīng)用程序通過使用插件或者瀏覽器擴(kuò)展存儲(chǔ)數(shù)據(jù)客戶端就一直存在很多方法。

　　

    “有很多已知的方法可以操控目前部署的HTML5 SessionStorage屬性，但是標(biāo)準(zhǔn)最終確定時(shí)，這個(gè)問題才會(huì)解決，”Wysopal表示。

　　

    跨域通信

　　

    而其他版本的HTML可能直允許JavaScript發(fā)出XML HTTP請(qǐng)求調(diào)用回原來的服務(wù)器，而HTML5放寬了這個(gè)限制，XML HTTP請(qǐng)求可以發(fā)送給任何允許這種請(qǐng)求的服務(wù)器。當(dāng)然，如果服務(wù)器不可信任的話，這也會(huì)帶來嚴(yán)重安全問題。

　　

    “例如，我可以建立一個(gè)mashup(糅合，將兩種以上使用公共或者私有數(shù)據(jù)庫的web應(yīng)用合并形成一個(gè)整合應(yīng)用)通過 JSON(Javascript Object Notation)將第三方網(wǎng)站的比賽比分拉過來，”Cornell表示，“這個(gè)網(wǎng)站可能會(huì)發(fā)送惡意數(shù)據(jù)到我的用戶瀏覽器正在運(yùn)行的應(yīng)用程序上。雖說 HTML5允許新類型的應(yīng)用程序的建立，但如果開發(fā)人員在開始使用這些功能時(shí)，并不理解他們所建立的應(yīng)用程序的安全意義，那么將會(huì)給用戶帶來很大安全風(fēng)險(xiǎn)?！?/div> 已有位網(wǎng)友對(duì)“HTML 5安全問題-網(wǎng)站建設(shè)開發(fā)人員指南”發(fā)表評(píng)論。

 

昵稱 (必填)

電子郵箱 (不會(huì)被泄露) (必填)

個(gè)人主頁

點(diǎn)擊輸入框顯示驗(yàn)證碼 請(qǐng)將得數(shù)填入輸入框內(nèi).