5.HTML5带来的新安全威胁

HTML5技术的优势与局限性分析随着互联网的日益发展，技术和标准也在不断升级，而HTML5技术作为HTML与WebGL的最新版本，自然也受到了广泛的关注和运用。

那么，HTML5技术相比之前的版本到底有哪些优势和局限性呢？接下来我们就来进行一番分析。

一、HTML5技术的优势1.支持多媒体内容HTML5中加入了用于嵌入多媒体内容的新标签，如video、audio、canvas等，这些标签的加入大大扩展了网页的功能和表现形式，使得它们能够更好地展现音频、视频、图像和动画等多媒体内容，不断提高用户体验。

2.性能优化HTML5在语义化和结构化方面进行了优化，能够更好地与搜索引擎协同工作，以提高SEO效果。

此外，HTML5提供了一种新的技术，即WebSockets，可用于提供即时通信，这意味着更快的响应速度和更低的延迟。

3.跨平台和设备独立性HTML5技术被设计成跨平台的，因此它能够在任何支持HTML5的浏览器和系统上使用。

HTML5还支持自适应设计，使其可以适应各种不同的屏幕大小和方向，如移动设备、平板电脑和PC机。

二、HTML5技术的局限性1.浏览器支持问题尽管HTML5技术已经成为了web标准，但不同的浏览器对HTML5技术的支持还是存在一定的差异。

这就意味着，为了确保网页的兼容性，开发人员需要在不同的浏览器上进行测试和优化，增加了工作量。

2.计算机性能虽然技术越来越先进，但一些HTML5技术在低端设备上的性能还是缺乏保障。

在较老的计算机或基于低功耗设备的设备上，一些实现需要更长的时间，甚至会崩溃。

3.安全和隐私问题HTML5技术大大增加了互联网上的交互性，但这也带来了一些安全和隐私方面的问题。

比如，当用户使用网站的位置服务时，他们可能会忽略隐私方面的提示和控制。

结论总的来说，HTML5技术既有其优势，也有其局限性，无法完全替代之前的版本，也无法在所有方面完全胜任。

对于开发者，重要的是根据项目的具体要求来选择合适的技术。

HTML5Web Storage攻击平安风险详解HTML5Web Storage攻击平安风险详解HTML5支持WebStorage，开发者可以为应用创建本地存储，存储一些有用的信息。

例如LocalStorage可以长期存储，而且存放空间很大，一般是5M，极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、简单被清除的问题。

这个功能为客户端供应了极大的敏捷性。

下面跟一起来了解一下吧!一、WebStorage简介HTML5支持WebStorage，开发者可以为应用创建本地存储，存储一些有用的信息。

例如LocalStorage 可以长期存储，而且存放空间很大，一般是5M，极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、简单被清除的问题。

这个功能为客户端供应了极大的敏捷性。

二、攻击方式LocalStorage的API都是通过Javascript供应的.，这样攻击者可以通过XSS攻击窃取信息，例如用户token或者资料。

攻击者可以用下面的脚本遍历本地存储。

同时要提一句，LocalStorage并不是唯一暴露本地信息的方式。

我们现在许多开发者有一个不好的习惯，为了便利，把许多关键信息放在全局变量里，例如用户名、密码、邮箱等等。

数据不放在合适的作用域里会带来严峻的平安问题，例如我们可以用下面的脚本遍历全局变量来获得信息。

三、攻击工具HTML5dump的定义是“JavaScriptthat dump all HTML5 local storage”，它也能输出HTML5 SessionStorage、全局变量、LocalStorage和本地数据库存储。

四、防备之道对于WebStorage攻击的防备措施是：1、数据放在合适的作用域里例如用户sessionID就不要用LocalStorage存储，而须要放在sessionStorage里。

而用户数据不要储存在全局变量里，而应当放在临时变量或者局部变量里。

HTML5技术的优势与局限HTML5是下一代HTML标准，由万维网联盟（W3C）和Web Hypertext Application Technology Working Group（WHATWG）共同开发，是HTML4的后续版本。

它在网络应用程序和跨设备访问方面带来了无数的优势，如支持视频播放、拥有更强大的处理能力和更好的可访问性等。

但是，HTML5也有它的局限性，如浏览器的兼容性、安全性等问题。

本文将讨论HTML5技术的优点和挑战。

一、HTML5技术的优点1.多媒体支持HTML5支持多种多媒体格式，如音频和视频，这使得在不同平台上播放视频变得更加容易和无缝，减少了插件之间的兼容性问题。

HTML5还为多媒体控件添加了新的标记，包括音频和视频标记，而在视频标签中，开发者可以插入字幕和标题，使得视频的播放更加完整和明确。

2.简化的代码HTML5为前端开发人员提供了一个更简单和有效的工作方式，同时提高了网站的可访问性和互动性。

例如，HTML5中的拖放功能可以使用户更容易地使用和导航网站，同时可允许开发者更快速地开发基于HTML5的Web应用程序。

3.更强的最新技术支持HTML5支持新技术，如Canvas、WebSockets和Web Workers，使得开发人员能够通过浏览器进行更多的图形和数据处理。

同时，HTML5还提供了更好的语义化样式支持和CSS3一起使用，提高了用户在不同设备上的视觉效果。

4.跨设备访问HTML5已经取得了跨设备的优势，因此用户可以访问网站或应用程序，无论是在台式机、笔记本电脑、移动设备还是平板电脑上，其体验几乎相同。

这样，用户就可以方便地通过多设备进行跨平台体验，而无需担心是否出现问题。

二、HTML5技术的局限性1.浏览器兼容性问题HTML5支持新的功能和特性，但是这些功能不是所有的浏览器都可以支持，有些甚至仍有部分功能不被支持。

浏览器的兼容性问题对于开发者来说是一个很大的挑战，因为它会浪费很多时间和精力来确保应用程序在不同浏览器中的正常运行。

H5 APP安全风险及解决方案目录一.HTML5 概述 (3)二.HTML5 应用开发模式 (4)三.H5 应用架构分析 (5)四.H5 应用安全风险 (6)4.1H5 应用面临的安全风险 (6)4.2针对移动应用的攻击 (6)4.2.1静态攻击 (6)4.2.2动态攻击 (7)4.3个人信息违规收集 (7)4.4安全建设目标 (8)五.H5 应用安全解决方案 SDK (9)5.1SDK 授权安全 (9)5.2客户端程序安全 (10)5.2.1客户端程序保护 (10)5.2.2客户端程序签名 (10)5.2.3移动客户端运行环境安全 (11)5.2.4数据存储安全 (11)5.2.5数据交互安全 (12)5.2.6资源管理 (13)5.3通信安全 (13)5.3.1SSL/TLS 安全配置 (13)5.3.2客户端证书有效性校验 (14)5.3.3数据传输安全 (14)5.4服务器端安全 (15)5.4.1SDK 授权 (15)5.4.2身份安全认证 (15)5.4.3短信验证码安全 (18)5.4.4访问控制 (18)5.4.5应用接口安全 (19)5.4.6数据交互安全 (19)5.4.7数据存储安全 (22)5.5个人信息安全 (23)5.5.1个人信息安全 (23)5.5.2运营者对用户权利的保障 (24)- I -一. HTML5 概述网页技术（B/S）是互联网技术在各个行业业务应用的广泛和重要的技术领域，HTML5 是基于兼容性、实用性、互通性以及通用访问性的理念设计而成的，随着 HTML5（以下简称“H5”）的发布和应用，H5 已经成为了互联网全新的框架和平台，包括提供免插件的音视频、图像动画、本地存储以及更多酷炫而且重要的功能，并使这些应用标准化和开放化，从而能够轻松实现类似桌面的应用体验，并且，H5 的最显著的优势在于跨平台性，用 H5 搭建的站点应用可以兼容 PC 端与移动端、windows 与 Linux、安卓和 iOS，它可以轻易地嵌入到各种不同的开放平台、应用平台上。

HTML5的安全风险详析HTML5的安全风险详析关于HTML5存在的安全风险你了解多少?下面YJBYS店铺为大家详细解析一下HTML5的安全风险!希望对大家有所帮助!一、CORS攻击CORS-CrossOrigin Resources Sharing，也即跨源资源共享，它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。

它是一个妥协，有更大的灵活性，但比起简单地允许所有这些的要求来说更加安全。

简言之，CORS就是为了让AJAX可以实现可控的跨域访问而生的。

一、从SOP到CORSSOP就是Same Origin Policy同源策略，指一个域的文档或脚本，不能获取或修改另一个域的文档的属性。

也就是Ajax不能跨域访问，我们之前的Web资源访问的根本策略都是建立在SOP上的。

它导致很多web开发者很痛苦，后来搞出很多跨域方案，比如JSONP和flash socket。

如下图所示：后来出现了CORS-CrossOrigin Resources Sharing，也即跨源资源共享，它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。

它是一个妥协，有更大的灵活性，但比起简单地允许所有这些的要求来说更加安全。

简言之，CORS就是为了让AJAX可以实现可控的跨域访问而生的。

示意如下图所示：现在W3C的官方文档目前还是工作草案，但是正在朝着W3C推荐的方向前进。

不过目前许多现代浏览器都提供了对它的支持。

服务器端对于CORS的支持，主要就是通过设置Access-Control-Allow-Origin来进行的。

如果浏览器检测到相应的设置，就可以允许Ajax进行跨域的访问。

例如：Access–Control-Allow-Origin应用CORS的系统目前包括、GoogleCloudStorage API等，主要是为开放平台向第三方提供访问的能力。

二、CORS带来的风险CORS非常有用，可以共享许多内容，不过这里存在风险。

HTML5中容易被攻击的5个“漏洞”在HTML5迅速崛起的同时，我们也不得不认识到HTML5给我们带来的安全问题，而且是不容小觑的安全问题。

本文主要从劫持、跨域请求、桌面通知、地理定位、表单篡改这几个方面来分析了HTML5中不容忽视的几个安全“漏洞”，开发者要时刻警惕。

“虽然，HTML5对加强网站互动性的新功能有着一定的作用和贡献，但是对于不怀好意者，HTML5的“漏洞”更容易成为他们的攻击目标。

”因此，本文会从五个方面介绍HTML5易被攻击的方向，希望广大应用开发者能够在使用HTML5的同时注意这些“漏洞”并加以防范。

1、点击劫持变的更加容易：点击劫持本身不是种新的攻击，这种攻击的目的是窃取受害者的鼠标按钮点击，然后将点击定向到攻击者所指定的其他页面。

攻击者的目的是让用户在不知情的情况下点击隐藏的链接。

目前，对于点击劫持最好的服务器端防御措施之一是被称为Framekilling的技术。

本质上来说，受到影响的网站可以利用JavaScript来验证自己是否在一个iframe中运行，如果是的话，就拒绝显示页面内容。

这种技术已经被在用在Facebook、Gmail和其他一些网站中。

但是HTML5在iframe中增加了一个新的沙盒属性，该属性会让网站停止执行JavaScript脚本。

在大多数情况下，这其实是比较安全的做法，但也存在缺点，就是会抵消目前对点击劫持最好的防御措施。

2、利用跨域请求或WebSockets的端口扫描：有了HTML5，浏览器现在可以连到任何IP地址或网站的（几乎）任何端口。

虽然除非目标网站有特别的允许，不然并不能接收到来自任意端口连接的回应，但是研究人员表示，这类请求所花的时间可以用来判断目标端口是打开的还是关闭的。

因此攻击者就可以直接利用浏览器对受害者的内部网络进行端口扫描。

3、利用桌面通知做社会工程学攻击：HTML5有一个新功能——桌面通知。

这些出现在浏览器之外的弹出窗口，其实是可以用HTML程序代码进行定制的。

面对新的安全问题，火狐浏览器的安全团队想到了使用新版本的网络超文本标记语言HTML5。

“HTML5的网络应用程序非常丰富，该浏览器正开始试图管理十分繁杂的应用程序，而不仅仅是网页，”Mozilla安全问题专家Sid Stamm近日在华盛顿召开的Usenix安全专题讨论会上表示。

“也就是说我们有一个很大的攻击面需要考虑，”他说道，而同时他又表示了对HTML5的担忧，Opera浏览器的开发人员正在积极修复一个缓冲区溢出漏洞，这个漏洞可能使用HTML5的画布图像渲染功能被利用。

万维网联盟(W3C)发布新一套渲染网页标准(统称为HTML5)不可避免地会带来全新的安全漏洞吗?至少有一部分安全研究人员正在考虑这个问题。

“HTML5为网络世界带来了很多功能和能量，黑客们现在可以更多地对HTML5和JavaScript发动恶意攻击，甚至比以往任何时候都要容易，”安全研究人员Lavakumar Kuppan 表示。

“W3C的重新设计是考虑到我们将开始在浏览器内执行应用程序，多年以来，我们已经见证了浏览器的安全性，”安全咨询公司Secure Ideas渗透测试员Kevin Johnson表示，“我们必须回过头来理解，浏览器是一种恶意环境。

”虽然按照惯例被命名为HTML5，HTML5也常用来形容相互关联标准套的集合，这些标准联合的话，可以用来构建成熟的网络应用程序。

它们提供的功能包括页面格式化、离线数据存储、图像移交和其他功能。

所有这些新的功能将开始接受安全研究人员的研究。

在今年夏天，Kuppan和另一位安全研究人员公布了滥用HTML5离线应用程序缓存的方法，谷歌Chrome、Safari、Firefox和Opera浏览器测试版都已经部署了这个功能，并且都很容易被这种方法攻击。

研究人员认为，这是因为任何网站都可以在用户的计算机上创建一个缓存，并且，在某些浏览器中，这种缓存创建根本没有得到用户的明确许可，攻击者可以设置到一个网站的假的登录页面，例如社交网站或者电子商务网站，随后这种假冒页面可以被用来窃取用户的登录凭证信息。

HTML5对安全的改进HTML5对安全的改进HTML5对旧有的安全策略进行了非常多的补充。

HTML5为iframe元素增加了sandbox属性防止不信任的Web页面执行某些操作，例如访问父页面的DOM、执行脚本、访问本地存储或者本地数据库等等。

HTML5对旧有的安全策略进行了非常多的补充。

一、iframe沙箱HTML5为iframe元素增加了sandbox属性防止不信任的Web 页面执行某些操作，例如访问父页面的DOM、执行脚本、访问本地存储或者本地数据库等等。

但是这个安全策略又会带来另外的风险，这很有趣，例如ClickJacking攻击里阻止JavaScript脚本的运行来绕过JavaScript的防御方式。

二、CSP内容安全策略XSS通过虚假内容和诱骗点击来绕过同源策略。

XSS攻击的核心是利用了浏览器无法区分脚本是被第三方注入的，还是真的是你应用程序的一部分。

CSP定义了Content-Security-Policy HTTP头来允许你创建一个可信来源的'白名单，使得浏览器只执行和渲染来自这些来源的资源，而不是盲目信任服务器提供的所有内容。

即使攻击者可以找到漏洞来注入脚本，但是因为来源不包含在白名单里，因此将不会被执行。

XSS攻击的原理三、XSS过滤器在Chrome中将无法得到执行，如下图所示。

四、其他另外HTML5的应用程序访问系统资源比Flash更受限制。

最后，关于HTML5专门的安全规范目前还在讨论中，有的人希望分散到HTML5规范的各个章节，有的人希望单独列出，目前没有单独的内容，因为不仅要考虑Web App开发者的安全，还要考虑实现HTML5支持的厂商，对它们进行规范和指导。

代码中html5内容安全策略缺失
在代码中缺失HTML5内容安全策略（Content Security Policy，CSP）可能存在一些安全风险。

CSP是一种基于HTTP头部的安全策略，用于帮助防止跨站脚本攻击（XSS）和数据注入等攻击。

如果在代码中缺失CSP，可能会导致以下安全风险：
1. XSS攻击：缺少CSP使得网站容易受到跨站脚本攻击，攻击者可以通过注入恶意脚本来窃取用户信息、篡改网页内容或进行其他恶意活动。

2. 数据注入：缺少CSP可能使得攻击者能够注入恶意内容，例如通过图像URL注入恶意脚本或通过iframe注入其他恶意网站。

3. 点击劫持：缺少CSP使得网站容易受到点击劫持攻击，攻击者可以通过覆盖透明的网页元素，在用户不知情的情况下引导其点击恶意链接。

为了解决这些安全风险，建议在代码中加入适当的CSP策略。

CSP可以通过设置响应头部或在HTML中使用<meta>标签来实现。

具体的CSP策略应根据网站的需求和安全要求进行定制，常见的CSP指令包括限制的资源加载、限制脚本执行、限制内联脚本等。

请注意，CSP只是安全策略之一，它不能完全替代其他安全措施，如输入验证和安全编码实践。

因此，建议综合使用多种安全措施以提高网站的安全性。

2013年网络安全八大威胁2012年的大门正在关闭，展望新一年的时候到了。

就在你为2013年制定商业与IT计划的同时，网络罪犯们也正在制定新年规划，准备着针对特定计算机系统与大大小小的组织发起愈加复杂的攻击。

在过去的一年中，企业遭受了多起严重的黑客攻击与破坏事件。

随着攻击者与企业间的“军备竞赛”在2013年进一步升级，IT部门与安全专家将需要时时都比黑客罪犯技高一筹，以保护企业不受攻击威胁。

2013年，恶意黑客们将使用哪些顶尖手段，对企业带来哪些最大的安全威胁呢？第一大威胁：社会工程这一切将开始于社会工程——一种无论在实体还是数字世界级都久经沙场的“黑帽战术”。

在计算机时代来临之前，它就是凭借巧言令色偷偷绕过一家公司的防线。

如今，社会工程已经开始利用起了包括Facebook和LinkedIn 在内的社交网络。

攻击者正扩展社会工程的使用面，不再仅限于致电目标雇员，然后钓出信息。

在过去，他们也许会打电话到前台，要求转接到目标雇员，这样从来电显示看就像是一个公司内部电话。

然而，如果网络罪犯所寻找的细节信息早已被发布在社交网络之上，那么就不需要以上战术了。

毕竟，社交网络就是用来建立与经营人脉的，只消一个令人信服的公司或个人主页，再加之以一个加好友请求，就足以成就一场社会工程骗局。

第二大威胁：高级持续性威胁警惕社会工程的重要性不言而喻，因为它可能预示着某一旨在突破公司防御墙的复杂攻击。

过去一年发生了多起针对企业和政府的高调攻击。

这些攻击被称为高级持续性威胁。

他们高度复杂，是精心构建的产物，背后的用意是获取某个网络的访问权限并神不知鬼不觉地盗取信息。

他们采取“韬光养晦”的策略，通常难以被发现，因而成功率颇高。

此外，APTs不需要每次都将MicrosoftWord这样的知名软件作为攻击对象，它们也可以攻击其他载体，比如嵌入式系统。

随着眼下拥有互联网地址协议的设备日益增多，建设系统安全性的需要从未如今天这样迫切。

HTML5安全——移动互联网时代的下一个关注点【发布时间：2013年06月04日】【来源：电信研究院】【字体：大中小】一、HTML5技术发展迅猛HTML5是公认的下一代Web语言，极大提升了Web在富媒体、富内容和富应用等方面的能力，被喻为终将改变移动互联网的重要推手。

在传统的终端与应用紧耦合模式遭遇发展瓶颈，特别是移动终端及移动互联网迅速发展的背景下，HTML5正不断推进移动互联网向更加开放融合的Web云服务模式转变，将深刻改变当前的应用服务模式及整个互联网生态环境。

作为近年来WEB标准最巨大的飞跃，HTML5标准目前已经被IE，Chrome，Firefox， Safari，Opera等各大主流浏览器所支持，支持HTML5终端及基于HTML5的WEB APP数量快速增长，HTML5的发展前景被各方面普遍看好。

二、HTML5引入新的安全问题然而，HTML5的新特性在推动WEB APP发展的同时，也引入了新的安全问题，增加了攻击者发动攻击的几率，扩大了可攻击的范围，以及造成后果的严重程度。

早在2011年8月，欧盟网络与信息安全局ENISA发布了一份分析HTML5安全的文档，宣布发现HTML5的13个规范中的51个安全问题，这是第一次有机构从安全角度来总体分析这套规范。

由于HTML5标准初创，其安全机制、框架及技术都尚未成熟，因此随着基于HTML5的互联网应用及WEB APP大规模推广，其安全问题将逐渐暴露并引发关注。

三、HTML5六大安全问题分析1、客户端存储安全问题在以前版本的HTML语言中，仅允许将Cookies作为本地信息进行存储且分配空间相对较小。

客户端上往往只存储简单的会话ID 等少量信息，当用户需要多次访问相同数据时，需要多次向服务器端发送请求获取，因此，大大降低了WEB的访问性能。

随着WEB应用复杂度和数据量的不断增大，访问性能成为了制约发展的重要瓶颈。

为此，HTML5引进了LocalStorage，允许浏览器在客户端存储大量数据，并允许使用新类型的数据。

HTML5 安全问题分析将HTML5 安全问题分为以下主要的三类: HTML5 安全漏洞、HTML5 新型攻击机制、HTML5 新特性滥用HTML5安全漏洞：XSS( Reflected，Stored)和DOM XSS（跨站漏洞）。

HTML5新型攻击机制：跨域伪造请求CSRF、点击劫持Clickjacking、离线应用缓存、本地存储攻击。

HTML5新特性滥用：Web shell / Web Scanner、地理位置信息泄露、僵尸网络。

HTML5 安全漏洞HTML5 中引入了新标签audio、video 以及新属性onerror、autofocus 等，这些新标签与新属性能够触发JavaScript 脚本执行，如果对标签、属性的参数没有进行严格过滤，那么就有可能引起跨站洞。

例如新的多媒体类标签所引起的跨站漏洞:＜ audio ＞＜ source onerror =”javascript: alert( document．cookies) ”＞新属性如’formaction’，’autofocus’也易产生跨站漏洞:＜ body oninput = alert( document．cookie) ＞＜ input autofocus ＞HTML5 新引入了一些增强用户体验与交互的特性，如“拖拽”等，这些功能仅需鼠标就能完成相关操作，浏览器通过后台捕捉到相关事件进行处理，在这个过程中，也可能引发跨站脚本漏洞。

文件对象模型( DOM) 是浏览器重要的一部分，用来渲染Web 内容。

在HTML5 中，升级的DOM level 3 在支持HTML5 和XHR 的同时，也增加了很多新的特性: XPATH 处理、DOMUser-Data 等等，这使得基于DOM 的跨站漏洞明显增加。

在使用DOM 函数document． * 、eval( ) 的过程中，如果Web 应用在调用这些函数时没有经过仔细处理，那么很容易造成基于DOM 的跨站漏洞。

网络安全中的最新威胁随着互联网内容的日益丰富和网络使用的普及，网络安全问题也成为了一个备受关注的问题。

其中，网络威胁是网络安全问题中的一个重要方面。

随着技术的不断发展和攻击者的创新，网络威胁呈现出多样化和复杂化的特点。

那么，本文将为您介绍网络安全中的最新威胁。

一、社交工程社交工程是一种通过心理学手段和社交技巧欺骗用户，从而获取用户敏感信息的攻击方法。

社交工程攻击者通常会冒充可信的身份，通过发送虚假邮件、伪造登录页面或者直接电话联系的方式诱导用户输入密码或其他敏感信息。

在这种攻击中，攻击者实际上是利用了用户对可信身份的信任，从而不经意泄露自己的敏感信息。

社交工程可以针对个人用户和企业进行攻击，一旦受害者泄露了敏感信息，攻击者就能够访问帐户，窃取个人信息、银行信息，以及对系统进行破坏等。

二、黑客工具黑客工具是一类广泛存在于黑客社区中的工具，它们原本是为了测试弱点和漏洞而被创造的。

然而，这些工具也为那些意欲窃取信息或者破坏 IT 系统的攻击者提供了方便。

在这种攻击中，攻击者可以通过这些工具轻松地利用已知的漏洞或者扫描开放的端口，进而获取系统权限，掌控服务器，窃取机密数据等。

常见的黑客工具包括 Acunetix、Nmap、Metasploit 和 Burp Suite 等。

三、勒索软件勒索软件是一种新兴的恶意软件，它会加密个人或企业文件并要求受害者支付赎金才能解锁。

勒索软件常常伴随诸如钓鱼邮件、恶意文件和漏洞扫描器这样的攻击手段一起出现。

攻击者通常使用高度加密技术来加密目标文件，从而使受害者无法访问他们的数据。

当勒索软件攻击的受害者数量增加，赎金金额也不断攀升，从而成为了一个新兴的经济产业。

四、物联网攻击随着物联网技术的迅速发展，越来越多联网的设备被引入到我们的日常生活中。

但同时，这些设备也存在一定的安全问题。

由于大部分物联网设备没有安全措施，因此攻击者可以轻松地利用这些设备进行入侵，例如利用智能家居控制器进行攻击，或者使用以太网、蓝牙等方式对连接漏洞的设备进行攻击。

HTML5 App的代码注入攻击与防范一、代码注入攻击Web技术有一个广为人知的危险特性：它允许数据和代码混杂到一起，比如当一个字符串包含数据和代码时，代码会被识别出来并且被JavaScript引擎执行。

这是一种功能设计，这样可以让JavaScript代码很方便的嵌入到 HTML 页面中执行。

不幸的是，这个功能的后果是，如果开发商只想处理数据，但使用了错误的API，字符串中的代码会自动和错误的触发。

如果这样的数据和代码混合字符串来自不可信的输入，恶意代码就可以被注入到应用程序中执行，这就是JavaScript代码注入攻击。

其中一种典型代表就是被我们称为跨站点脚本（XSS）的，根据OWASP top10［11］，这是目前Web应用程序中的第三常见的安全风险。

3.1 概述使用Web技术开发的手机app将制造一种新的蠕虫，它可以将针对特定的手机应用程序注入恶意代码。

这种攻击破坏性比Web应用程序的XSS攻击要大很多，不仅仅因为我们给手机上安装的app授予了很多权限，更因为在XSS攻击中恶意代码的注入大多数都需要通过Web应用服务器，这是恶意数据到达他们攻击目标的唯一通道，而在手机应用场景下有非常多可利用的攻击通道。

这些通道的一个共同的特点是，他们都是连接移动设备和外界的通道，实质上是遭受从另一个设备（不一定是一个手机设备）进行攻击的通道。

图2（a）说明了攻击的基本思路。

由于智能手机实时地与外面的世界交互，和传统的网络通道相比有更多新的通道可以输入不可信的数据到手机设备。

例如，二维码、RFID标签、媒体文件、Bluetooth设备和Wi-Fi接入点等，恶意代码可以嵌入在这些通道数据里面。

如果数据混合的代码没有机会被触发，就不会有代码执行造成的风险。

这就是natvie语言开发的手机app能够免疫这种代码注入攻击的原因。

例如，即使攻击者可以嵌入Java代码到二维码里面，也没有机会误触发执行这些代码。

但由于web技术的危险特性，这不适用于HTML5 app。

HTML5将如何最终引发一场移动革命网上体验日新月异，智能手机可能很快就会变得名符其实，而每个企业的移动战略也将日益重要。

一场看似玄机重重而且可能会对消费者和企业产生重大影响的变革正在网上展开，那就是过渡到新一代HTML1，而HTML 正是作为互联网的基础编程标准。

所有行业的高层管理人员都应该注意：与专门用于特定设备的应用呈现出的指数增长类似，HTML 的发展会进一步增强移动设备的功能，加速改变人们使用内容的方式，更快地实现将智能手机和平板电脑作为营销平台兼生产力工具这一潜在用途。

新一代互联网标准本质上可以让程序通过Web 浏览器而不是特定的操作系统来运行。

这意味着，消费者将能够从包括个人电脑、笔记本电脑、智能手机或平板电脑在内的任意设备访问相同的程序和基于云的内容，因为浏览器就是通用平台。

无论何时何地，这种功能都可以在任意设备上顺畅地使用，它可能会改变消费者的习惯，使移动电信、媒体和技术行业的实力平衡发生变化。

它既会创造机遇，也将带来挑战。

高级管理人员可能会感受到迈向“以Web 为中心”这一转变所带来的影响，这种影响来得如此之快，远超出他们的想像。

本文旨在向这些高级管理人员初步介绍这一系列变化。

移动技术的发展与20世纪80年代PC 制造商之间发生的激烈竞争在某些方面十分相似。

微软公司的Windows 操作系统支持无数家制造商的硬件，虽然这对于我们来说是一件理所当然的事情，但当初却并非总是如此。

还记得Commodore 64这一历史上最热销的PC，或者Apple II 所采用的操作系统吗？在微软公司的DOS 和后来的Windows 问世之前，PC 用户面临着一个艰难的抉择：究竟采用哪种技术？因为这决定了他们可以玩哪些游戏，使用哪些实用程序，同时也决定了他们电脑的整体有用性如何。

如今，同样的事情也在移动设备领域重演。

用户必须权衡硬件和软件的优点，然后义无反顾地选择某种技术，无论其设备是来自苹果(Apple) 公司或Research in Motion 等制造商的设备，运行谷歌(Google) Android 操作系统且品种日益丰富的平板电脑和智能手机，还是诺基亚(Nokia) 公司即将推出的运行Microsoft Windows Phone 7操作系统的产品。

HTML5 安全问题分析将HTML5 安全问题分为以下主要的三类: HTML5 安全漏洞、HTML5 新型攻击机制、HTML5 新特性滥用HTML5安全漏洞：XSS( Reflected，Stored)和DOM XSS（跨站漏洞）。

HTML5新型攻击机制：跨域伪造请求CSRF、点击劫持Clickjacking、离线应用缓存、本地存储攻击。

HTML5新特性滥用：Web shell / Web Scanner、地理位置信息泄露、僵尸网络。

HTML5 安全漏洞HTML5 中引入了新标签audio、video 以及新属性onerror、autofocus 等，这些新标签与新属性能够触发JavaScript 脚本执行，如果对标签、属性的参数没有进行严格过滤，那么就有可能引起跨站洞。

例如新的多媒体类标签所引起的跨站漏洞:＜ audio ＞＜ source onerror =”javascript: alert( document．cookies) ”＞新属性如’formaction’，’autofocus’也易产生跨站漏洞:＜ body oninput = alert( document．cookie) ＞＜ input autofocus ＞HTML5 新引入了一些增强用户体验与交互的特性，如“拖拽”等，这些功能仅需鼠标就能完成相关操作，浏览器通过后台捕捉到相关事件进行处理，在这个过程中，也可能引发跨站脚本漏洞。

文件对象模型( DOM) 是浏览器重要的一部分，用来渲染Web 内容。

在HTML5 中，升级的DOM level 3 在支持HTML5 和XHR 的同时，也增加了很多新的特性: XPATH 处理、DOMUser-Data 等等，这使得基于DOM 的跨站漏洞明显增加。

在使用DOM 函数document． * 、eval( ) 的过程中，如果Web 应用在调用这些函数时没有经过仔细处理，那么很容易造成基于DOM 的跨站漏洞。