問：是否如一些防病毒廠商所說的一樣，新的HTML 5功能為惡意軟件編寫者提供了新的機(jī)遇？能解釋一下原因嗎？

答：實(shí)際上，每一種新技術(shù)都會(huì)給惡意軟件編寫者帶來新的機(jī)遇，新的HTML 5功能也為他們提供了許多機(jī)遇。即使 HTML 5具有整合的安全功能，但是仍然有一些攻擊者試圖攻擊它。和其他新技術(shù)一樣，HTML 5也面臨著攻擊和安全漏洞調(diào)查。HTML 5更復(fù)雜，支持的功能（現(xiàn)在多個(gè)不同的插件所有的功能）也更多。一般情況下，更廣泛的功能更容易導(dǎo)致攻擊。代碼越多，就越復(fù)雜，攻擊者可以利用的潛在漏洞也越多。

一種新的高風(fēng)險(xiǎn)HTML 5功能是跨域信任功能。該功能允許不同的域（域名服務(wù)器名）在你的Web瀏覽器的iframe間進(jìn)行通信。剛開始，這個(gè)功能對(duì)開發(fā)者來說很復(fù)雜，它需要認(rèn)證從其他域來的跨域請(qǐng)求是來自他們所請(qǐng)求的域。雖然這個(gè)功能很先進(jìn)，但技術(shù)用戶發(fā)現(xiàn)很難理解其所包含的風(fēng)險(xiǎn)。惡意軟件編寫者很可能會(huì)試圖濫用這個(gè)功能以獲得敏感數(shù)據(jù)，因?yàn)檎J(rèn)證過程可能不會(huì)按期望的進(jìn)程進(jìn)行。

HTML 5所面臨的一個(gè)最困難的安全問題是將功能從服務(wù)器移到客戶端，因?yàn)榉?wù)器會(huì)過度的相信客戶。舉一個(gè)例子，服務(wù)器相信數(shù)據(jù)是來自一個(gè)具有有效的非惡意輸入的客戶端。所以，應(yīng)該對(duì)服務(wù)器和應(yīng)用程序進(jìn)行編程，來驗(yàn)證從客戶端來的數(shù)據(jù)，以確保它不是惡意的。

【編輯推薦】

1. 專家教您如何使用HTML Purifier防止不良代碼
2. 國(guó)內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場(chǎng)與技術(shù)操作