HTML5如何改变网络安全性?

本文概述

Google宣布已完成Flash操作, 这是Flash棺材中的最后一钉钉子。

甚至在此之前, 史蒂夫·乔布斯(Steve Jobs)等名人技术专家也公开反对Flash。

随着Flash的消失和HTML5的兴起, 一个崭新的时代进入了一个时代, 那就是外观更好, 功能更好的网站, 它们与移动设备和PC兼容。

传输数据和接收数据也比以前更加简单。

但是, 它提出了需要克服的独特挑战。

这样做的好处是html5将跨浏览器的支持和功能提升到一个全新的水平。

HTML5如何改变网络安全性?2

某些浏览器不支持单个网站元素, 因此不得不更改网站元素以保持外观与外观令人沮丧。

HTML5放弃了该要求, 因为所有现代浏览器都支持。

跨域资源共享

跨域资源共享(CORS)是html5最有影响力的功能之一, 也是预示错误和黑客攻击的可能性最大的功能。

CORS定义了标头, 以帮助站点定义起源并促进上下文交互。

使用html5时, CORS会使浏览器上的基本安全机制静音, 即称为”同源起源规则”。

在相同的来源策略下, 仅当两个网页具有相同的来源时, 浏览器才能允许该网页访问第二个网页中的数据。

HTML5如何改变网络安全性?4

什么是起源?

来源是URI方案, 主机名和端口号的组合。此策略可防止恶意脚本执行和访问网页中的数据。

CORS通过允许不同站点访问数据以允许上下文交互来放宽此策略。

这可能会导致黑客接触敏感数据。

例如,

如果你已登录Facebook并保持登录状态, 然后访问另一个站点, 则攻击者可能会利用宽松的跨域策略来窃取信息并对你的Facebook帐户执行其希望做的任何事情。

稍微有点不高兴的是, 如果用户登录了他的银行帐户却忘记了注销, 则黑客可能会访问该用户的凭据, 他的交易, 甚至创建新交易。

浏览器通过存储用户详细信息, 使会话cookie处于打开状态以供利用。

黑客还可以与标头混为一谈, 以触发未经验证的重定向。

当浏览器接受不受信任的输入时, 可能会发生未经验证的重定向。依次转发转发请求。可以修改不受信任的URL, 以向恶意站点添加输入, 从而通过提供看起来与实际站点相同的URL来启动网络钓鱼诈骗。

未经验证的重定向和转发攻击也可以用于恶意制作URL, 该URL将通过应用程序的访问控制检查, 然后将攻击者转发给通常无法访问的特权功能。

这是开发人员应注意的事情, 以防止这些事情发生。

  • 开发人员应确保将URL传递给打开。如果它们是跨域的, 则可能容易受到代码注入的攻击。
  • 另外, 如果URL是相对的, 或者它们指定了协议, 请注意。相对网址未指定协议, 即我们不知道它是以HTTP还是https开头。浏览器假定两者都是正确的。
  • 不要依赖Origin标头来进行访问控制检查, 因为它们很容易被欺骗。

你如何知道是否在特定域上启用了CORS?

好了, 你可以在浏览器中使用开发人员工具检查标题。

跨域消息传递

以前, 在浏览器中不允许跨域消息传递, 以防止跨站点脚本攻击。

这也阻止了网站之间的合法通信的发生, 这导致了如今大量的跨域消息传递。

Web消息传递允许不同的API轻松交互。

为防止交叉脚本攻击, 这是开发人员应该采取的措施。

他们应说明消息的预期来源

  • 原始属性应始终进行交叉检查和数据验证。
  • 接收页面应始终检查发送者的来源属性。这有助于验证接收到的数据确实是从预期位置发送的。
  • 接收页面还应该执行输入验证, 以确保数据为所需格式。
  • 交换的消息应解释为数据而非代码。

更好的存储

html5的另一个功能是可以提供更好的存储。启用浏览器可以存储数据, 而不是依靠cookie来跟踪用户数据。

HTML5如何改变网络安全性?6

HTML5允许跨多个窗口存储, 具有更高的安全性, 甚至在关闭浏览器后仍可以保留数据。无需浏览器插件即可进行本地存储。

这带来了不同的麻烦。

开发人员应注意以下事项, 以防止攻击者窃取信息。

  • 如果网站存储了用户的密码和其他个人信息, 那么黑客可能会访问它。如果未加密, 则可以通过Web存储API轻松窃取此类密码。因此, 强烈建议对所有有价值的用户数据进行加密和存储。
  • 此外, 许多恶意软件有效载荷已经开始扫描浏览器缓存和存储API, 以查找有关用户的信息, 例如交易和财务信息。

结论思想

HTML5为Web开发人员提供了绝佳的机会来修改和使事情变得更加安全。

但是, 提供安全环境的大部分工作都在浏览器上。

如果有兴趣了解更多信息, 请查看” 1小时内学习HTML5″课程。

微信公众号
手机浏览(小程序)
0
分享到:
没有账号? 忘记密码?