《白帽子讲web安全》学习笔记 （4）

HTML5安全

HTML5新标签的XSS

• 如video，audio标签, 如果网站，没有进行过滤的话，就麻烦了。
• iframe的sandbox.有一个新的属性sandbox,可以将内容视为一个独立的“源”。有好多个属性。如下所示
  • allow-same-origin:允许同源访问
  • allow-top-navigation:允许访问顶层窗口
  • allow-forms:允许提交表单
  • allow-scripts:允许执行脚本。
• Link Types:norefere
  • 可以在a标签上指，不再发送noreferer
• canvas的妙用
  • canvas的强大功能，甚至可以用来破解验证码！大大降低了攻击的门槛。
• cross-origin
  • 可以设置Access-Control-Allow-Origin.
  • postMessage--跨客串传递消息。使用时有两个要注意的
    • 在必要时，在接收客串验证Domain,甚至是URL,以防止来自非法页面的消息
    • 如果将收到的消息写到innerHTML,要小心xss
• web storage
• 让web开发更加灵活，但是它的强大，也为xss payload大开方便之门，攻击者有可能将恶意代码保存在web storage.

小结

HTML5是互联网的大势所趋。攻击者有可能使用HTML5的一些新特性，来绕过一些未及时更新的防御方案。要对抗这些“新型”的攻击，就必须了解HTML5的方方面面。