客戶端HTML5的安全研究

華 晨 ，施化吉

（江蘇大學 江 蘇 鎮 江 2 12013）

HTML5是繼HTML4.01,XHTML 1.0和DOM 2 HTML后的又一個重要版本，旨在消除Internet程序對 Flash，Silverlight，JavaFX一類瀏覽器插件的依賴。除了原先的DOM接口，HTML5增加了更多API，如：本地音頻視頻播放；硬件加速；本地運行(即使在 Internet連接中斷之后)；從桌面拖放文件到瀏覽器上傳；語義化標記。隨著萬維網聯盟于2008年1月第1份HT ML5草案的發布,HTML5開啟了WEB應用的新時代,各大著名IT公司相繼推出了支持新的網頁格式的IT產品。HT ML5與之前的版本相比,最為顯著的特點是為開發者提供了一個不再依靠插件和擴展的完整應用平臺。現在使用HT ML5規范的各種WEB應用方興未艾,勢不可擋。它展現出來的許多新特性在改變WEB世界同時也對網絡安全帶來了許多新挑戰[1-2]。

1 HTML5新標簽

HTML5在廢除了一些舊標簽的同時也增加了一些新標簽來增強網頁的表現性能。但這同時也給攻擊者帶來了新的機會。

一些xss filter如果建立了一個黑名單的話，則可能不會覆蓋到HTML5新增的標簽和功能，從而發生XSS。

例如

[3]

這段遠程加載視頻的代碼成功的繞過了XSS Filter。

我們對此攻擊的防御方式是，對前端或者后端的XSS Filter進行優化，添加過濾規則或者黑名單。