HTML5安全攻防详析之完结篇：HTML5对安全的改进

HTML5对旧有的安全策略进行了十分多的补充  。

一、iframe沙箱

HTML5为iframe元素添加了sandbox属性 预防不信赖的Web页面执行某些操作，例如 拜访父页面的DOM、执行脚本、 拜访当地存储或者当地数据库等等  。然而这个安全策略又会带来另外的风险，这很 乏味，例如ClickJacking 突击里阻挠JavaScript脚本的运行来绕过JavaScript的防备 模式  。

二、CSP内容安全策略

XSS通过 虚假内容和诱骗点击来绕过同源策略  。 XSS 突击的核心是利用了阅读器 无奈 划分脚本是被第三方注入的，还是真的是你 利用程序的一 部分  。CSP定义了Content-Security-Policy HTTP头来同意你 缔造一个可信 起源的白名单，使得阅读器只执行和渲染来自这些 起源的资源，而不是盲目信赖服务器提供的全部内容  。 即便 突击者 可以找到 漏洞来注入脚本，然而由于 起源不包括在白名单里， 因此将不会被执行  。

XSS 突击的原理

三、XSS过滤器

Chrome、Safari这样的现代阅读器也构建了安全防备措施，在前端提供了XSS过滤器  。例如http://test.jiangyujie.com/?text=在Chrome中将 无奈得到执行，如下图所示  。

四、 其余

另外HTML5的 利用程序 拜访系统资源比Flash更受 制约  。

最终，对于HTML5专门的安全 标准当前还在 探讨中，有的人 盼望 疏散到HTML5 标准的各个章节，有的人 盼望 径自列出，当前没有 径自的内容，由于不 惟独考量Web App开发者的安全，还要考量实现HTML5 支撑的厂商，对它们进行 标准和 指导  。

我个人认为HTML5的安全 标准将会有一个统一的章节来进行 阐述，并在各个 性能模块相应的提及  。