• 《党的基层组织建设实务与解析》 2019-07-21
  • 网售私房粽游走法律边缘 打养生旗号难以说清依据 2019-07-21
  • 勤劳不能致富,原因首先是生产力水平低下,因此,很多农民选择进城打工,有的人一个月的打工收入相当于在农村干一年的收入。 2019-07-18
  • 认真学习宣传贯彻党的十九大精神:社区宣讲热腾腾 2019-07-09
  • 九江市委书记林彬杨现场调研推进“三城同创”工作 2019-07-09
  • 人民海军挺进深蓝 向建设世界一流海军阔步前进 2019-07-07
  • 本人以中国首席科学家的身份给韩震先生上一堂马克思主义课:第一讲:什么是马克思主义?马克思主义是19世纪四十年代,欧洲工业革命之后,世界资本主义进入了自由 2019-07-07
  • 乡亲们幸福,我也感到幸福 2019-07-06
  • 百名红色通缉令三成多归案 海外追逃难在何处? 2019-07-06
  • 这一年,你的钱花哪儿了? 2019-06-21
  • 女性之声——全国妇联 2019-06-21
  • 西藏部署“三病”筛查救治工作 2019-06-11
  • 全国人大代表、西安交大校长王树国谈创新型人才培养 2019-06-06
  • 习近平时间携手共建生态良好的地球美好家园 2019-06-05
  • 最纯正港片回归《泄密者》点燃暑期档 2019-06-04
  • 华东十五选五走势图:关于HTML5的安全问题开发人员需要牢记的_HTML5教程

    编辑Tag赚U币
    教程Tag:HTML5安全添加

    福建体彩31选7走势图 www.dwrt.net 推荐:关于HTML5的22个初级技巧(图文教程)
    HTML5来了.让我们看一下有什么技巧

    应用程序安全专家表示,HTML5给开发人员带来了新的安全挑战。
      苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸多猜测,尽管HTML 5的实现还有很长的路要走,但可以肯定的一点是,运用HTML 5的开发人员将需要为应用程序安全开发生命周期部署新的安全功能以应对HTML5带来的安全挑战。
      那么HTML5将会对我们需要覆盖的攻击面带来怎样的影响?本文将探讨关于HTML 5几个重要安全问题。
      客户端存储
      早期版本的HTML仅允许网站将cookies作为本地信息存储,而这些空间相对较小,仅适用于存储简单的档案信息或者作为存储在其他位置的数据(例如会话ID)的标识符,Denim集团应用程序安全研究部门的主管Dan Cornell表示。然而,HTML5 LocalStorage则允许浏览器本地存储大量据库,允许使用新类型应用程序。
      “随之而来的风险就是,敏感数据可能被存储在本地用户工作站,而物理访问或者破坏该工作站的攻击者,就能够轻松获得敏感数据,”Cornell表示,“这对于使用共享计算机的用户更加危险。”
      “从定义上来说,它真的只是能够在客户端系统存储信息,”Rapid7公司的安全研究人员Josh Abraham表示,“那么你就具备基于客户端SQL注入攻击的潜在能力,或者可能你的某个客户端的数据库是恶意的,当与生产系统同步时,则可能出现同步问题,或者客户端的潜在恶意数据将被插入到生产系统。”
      为了解决这个问题,开发人员需要能够验证数据是否为恶意的,这其实是个很复杂的问题。
      对于这个问题的重要性并不是所有人都赞同。Veracode公司首席技术官Chris Wysopal表示,例如web应用程序通过使用插件或者浏览器扩展存储数据客户端就一直存在很多方法。
      “有很多已知的方法可以操控目前部署的HTML5 SessionStorage属性,但是标准最终确定时,这个问题才会解决,”Wysopal表示。
      跨域通信
      而其他版本的HTML可能直允许JavaScript发出XML HTTP请求调用回原来的服务器,而HTML5放宽了这个限制,XML HTTP请求可以发送给任何允许这种请求的服务器。当然,如果服务器不可信任的话,这也会带来严重安全问题。
      “例如,我可以建立一个mashup(糅合,将两种以上使用公共或者私有数据库的web应用合并形成一个整合应用)通过 JSON(Javascript Object Notation)将第三方网站的比赛比分拉过来,”Cornell表示,“这个网站可能会发送恶意数据到我的用户浏览器正在运行的应用程序上。虽说 HTML5允许新类型的应用程序的建立,但如果开发人员在开始使用这些功能时,并不理解他们所建立的应用程序的安全意义,那么将会给用户带来很大安全风险。”
      对于依赖于PostMessage()来编写应用程序的开发人员而言,必须仔细检查以确保信息是来源于他们自己的网站,否则来自其他网站的恶意代码可能会制造恶意信息,Wysopal补充说。这个功能本身并不是安全的,开发人员已经开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通讯。
      另一个相关问题是,万维网联盟目前为跨源资源共享设计提供了一种使用类似与跨域机制绕过同源政策的方法。
      “IE部署的安全功能与Firefox、Chrome以及Safari都不相同,”他指出,“开发人员需要确保他们创建过于宽松访问控制列表的危害,特别是因为某些参考代码目前非常不安全。
      Iframe安全
      从安全角度来看,HTML5也有不错的功能,例如计划支持iframe的沙盒属性。
      “这个属性将允许开发者选择数据如何解译的方式,”Wysopal表示,“不幸的是,与大部分HTML一样,这个设计很可能被开发人员误解,很可能因为不便于使用而被开发人员禁用。如果处理得当,这个功能将能够帮助抵御恶意第三方广告或者防止不可信任内容重放。”

    分享:开发人员所需要知道的HTML5性能分析面面观
    以下这篇文章是由一位名为张黎明的IT技术人员所写,其发表于InfoQ的网页上。这次他在全文里面从9个不同的方面分析HTML5的性能,还是很值得相应的开发人员阅读的。

    来源:未知//所属分类:HTML5教程/更新时间:2013-04-22
    相关HTML5教程
  • 《党的基层组织建设实务与解析》 2019-07-21
  • 网售私房粽游走法律边缘 打养生旗号难以说清依据 2019-07-21
  • 勤劳不能致富,原因首先是生产力水平低下,因此,很多农民选择进城打工,有的人一个月的打工收入相当于在农村干一年的收入。 2019-07-18
  • 认真学习宣传贯彻党的十九大精神:社区宣讲热腾腾 2019-07-09
  • 九江市委书记林彬杨现场调研推进“三城同创”工作 2019-07-09
  • 人民海军挺进深蓝 向建设世界一流海军阔步前进 2019-07-07
  • 本人以中国首席科学家的身份给韩震先生上一堂马克思主义课:第一讲:什么是马克思主义?马克思主义是19世纪四十年代,欧洲工业革命之后,世界资本主义进入了自由 2019-07-07
  • 乡亲们幸福,我也感到幸福 2019-07-06
  • 百名红色通缉令三成多归案 海外追逃难在何处? 2019-07-06
  • 这一年,你的钱花哪儿了? 2019-06-21
  • 女性之声——全国妇联 2019-06-21
  • 西藏部署“三病”筛查救治工作 2019-06-11
  • 全国人大代表、西安交大校长王树国谈创新型人才培养 2019-06-06
  • 习近平时间携手共建生态良好的地球美好家园 2019-06-05
  • 最纯正港片回归《泄密者》点燃暑期档 2019-06-04
  • 云南快乐十分今日开奖 14场胜负彩最新预测 六肖中特比赛 东方6十1历史开奖结果 精准一尾中特资料 内蒙古时时彩号吗统计 35选7 3d彩票网站是多少 什么网有湖南幸运赛车 一波中特连准22期 南粤风采26选5中奖 2019一肖中特免费资料 12057七星彩走势图 上海时时彩走试徒 贵州11选5一中奖助手下载