四虎国产精品永久地址998_chinesexxx少妇露脸_日本丁香久久综合国产精品_一区二区久久久久_四虎av影视_久久久久国产一区二区三区不卡

中培偉業IT資訊頻道
您現在的位置:首頁 > IT資訊 > 軟件研發 > 【中培課堂】淺析Html5對瀏覽器信息安全方面的提升

【中培課堂】淺析Html5對瀏覽器信息安全方面的提升

2016-07-22 09:06:24 | 來源:中培企業IT培訓網

HTML5作為一種具有強大兼容能力的超文本標記語言,其強大的功能已經讓它成為web開發領域中的大熱。中培偉業《HTML5開發最佳實踐應用》培訓專家姚老師指出,HTML5對舊有的安全策略進行了非常多的補充。HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執行某些操作,例如訪問父窗口的DOM、執行腳本、訪問本地存儲或者本地數據庫等等。姚老師隨后對HTML5帶來的相關補充進行了詳細介紹。

一、iframe沙箱

HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執行某些操作,例如訪問父頁面的DOM、執行腳本、訪問本地存儲或者本地數據庫等等。但是這個安全策略又會帶來另外的風險,這很有趣,例如ClickJacking攻擊里阻止JavaScript腳本的運行來繞過JavaScript的防御方式。

二、CSP內容安全策略

XSS通過虛假內容和誘騙點擊來繞過同源策略。 XSS攻擊的核心是利用了瀏覽器無法區分腳本是被第三方注入的,還是真的是你應用程序的一部分。CSP定義了Content-Security-Policy HTTP頭來允許你創建一個可信來源的白名單,使得瀏覽器只執行和渲染來自這些來源的資源,而不是盲目信任服務器提供的所有內容。即使攻擊者可以找到漏洞來注入腳本,但是因為來源不包含在白名單里,因此將不會被執行。

三、XSS過濾器

Chrome、Safari這樣的現代瀏覽器也構建了安全防御措施,在前端提供了XSS過濾器。例如http://test.jiangyujie.com/?text=</div><script>alert(1)</script>在Chrome中將無法得到執行。

四、其他

另外HTML5的應用程序訪問系統資源比Flash更受限制。

最后,關于HTML5專門的安全規范目前還在討論中,有的人希望分散到HTML5規范的各個章節,有的人希望單獨列出,目前沒有單獨的內容,因為不僅要考慮Web App開發者的安全,還要考慮實現HTML5支持的廠商,對它們進行規范和指導。

針對HTML5在互聯網行業當中廣泛應用,中培偉業推出了《HTML5開發最佳實踐應用》培訓課程,該課程自推出以后,深受行業相關從業人員的歡迎,參加本課程培訓的學員學習結束后,對本課程帶來的收益給予了高度評價。下一期的《HTML5開發最佳實踐應用》公開課培訓將于10月23日—269日在成都舉行,目前學員正火熱招募中,希望廣大行業精英屆時能積極報名參加。

標簽: HTML5開發
主站蜘蛛池模板: 惠水县| 广灵县| 喜德县| 祁连县| 平顶山市| 安阳县| 华阴市| 仁化县| 开远市| 西藏| 晋宁县| 正宁县| 岐山县| 临湘市| 北海市| 图们市| 临江市| 鄯善县| 封开县| 三门县| 沾益县| 喀什市| 敦煌市| 呼伦贝尔市| 凤庆县| 旺苍县| 凤凰县| 延川县| 焦作市| 观塘区| 乌鲁木齐县| 辽宁省| 聂荣县| 文昌市| 翁牛特旗| 卢龙县| 罗源县| 九龙县| 拉萨市| 广元市| 福安市|