基于HTML5的Web前端安全性研究

李馳 李林

摘要：Web安全的重點正從服務器端轉移到Web前端。伴隨著HTML5新技術的興起， Web前端的安全問題更為突出。對傳統的Web前端安全問題XSS、CSRF、界面操作劫持進行了闡述，對由HTML5中的新標簽屬性、Web Workers、Web Storage、postMessage、CSS3等新技術所帶來的安全問題進行了全面細致的分析，給出了一系列安全策略。

關鍵詞：Web前端；XSS；CSRF；界面操作劫持；HTML5

DOIDOI：10.11907/rjdk.161088

中圖分類號：TP309

文獻標識碼：A 文章編號：1672-7800（2016）005-0185-03

0 引言

網絡安全總是隨著時代的變遷而變化的。早期的互聯網，Web并非主流應用，因為功能很弱，黑客們往往不屑攻擊。隨著互聯網的發展，Web功能日漸強大，防火墻等技術的應用，使得非Web服務很難被攻擊，于是黑客們將攻擊重點轉向了Web應用。如果說早期Web1.0時代的安全性問題主要體現在操作系統、緩沖區溢出、數據庫SQL注入等Web服務器端的話，那么到了Web2.0時代，安全問題就集中在XSS、CSRF、ClickJacking等Web前端。伴隨著移動互聯的發展，HTML5技術成為大量黑客的目標。所以，本文對于傳統的Web前端以及HTML5出現后所帶來的安全問題進行了研究和探討。

1 傳統的Web前端安全性問題

1.1 XSS

XSS全稱Cross Site Script，中文名跨站腳本攻擊，它是指由于黑客往網頁中注入了惡意的腳本，從而導致瀏覽器在呈現頁面時執行了非預期的惡意功能。XSS分為3種類型：①反射型XSS，是黑客利用一些社會工程學誘騙用戶點擊一個惡意鏈接，服務器直接將這個帶有惡意腳本的內容反射給用戶的瀏覽器，從而攻擊成功；②存儲型XSS，是黑客在自己的瀏覽器中提交一段帶有惡意腳本的留言，這個留言會被服務器保存到數據庫中，下次其它用戶查看這段留言時就會被攻擊；③DOM Base XSS，屬于一種特殊的反射型XSS，不需要被服務器端解析響應，直接在瀏覽器客戶端被JavaScript代碼解析。下面來看一個典型的反射型XSS。

黑客誘騙用戶點擊了如下一個鏈接：