在HTML5迅速崛起的同時，我們也不得不認(rèn)識到HTML5給我們帶來的安全問題，而且是不容小覷的安全問題。本文主要從劫持、跨域請求、桌面通知、地理定位、表單篡改這幾個方面來分析了HTML5中不容忽視的幾個安全“漏洞”，開發(fā)者要時刻警惕。

“雖然，HTML5對加強(qiáng)網(wǎng)站互動性的新功能有著一定的作用和貢獻(xiàn)，但是對于不懷好意者，HTML5的“漏洞”更容易成為他們的攻擊目標(biāo)。”

因此，本文會從五個方面介紹HTML5易被攻擊的方向，希望廣大應(yīng)用開發(fā)者能夠在使用HTML5的同時注意這些“漏洞”并加以防范。

1、點(diǎn)擊劫持變的更加容易：點(diǎn)擊劫持本身不是種新的攻擊，這種攻擊的目的是竊取受害者的鼠標(biāo)按鈕點(diǎn)擊，然后將點(diǎn)擊定向到攻擊者所指定的其他頁面。攻擊者的目的是讓用戶在不知情的情況下點(diǎn)擊隱藏的鏈接。目前，對于點(diǎn)擊劫持最好的服務(wù)器端防御措施之一是被稱為Framekilling的技術(shù)。本質(zhì)上來說，受到影響的網(wǎng)站可以利用JavaScript來驗證自己是否在一個iframe中運(yùn)行，如果是的話，就拒絕顯示頁面內(nèi)容。這種技術(shù)已經(jīng)被在用在 Facebook、 Gmail和其他一些網(wǎng)站中。但是HTML5在iframe中增加了一個新的沙盒屬性，該屬性會讓網(wǎng)站停止執(zhí)行JavaScript腳本。在大多數(shù)情況 下，這其實是比較安全的做法，但也存在缺點(diǎn)，就是會抵消目前對點(diǎn)擊劫持最好的防御措施。

2、利用跨域請求或WebSockets的端口掃描：有了HTML5，瀏覽器現(xiàn)在可以連到任何IP地址或網(wǎng)站的（幾乎）任何端口。雖然除非目標(biāo)網(wǎng)站有特別的允許，不然并不能接收到來自任意端口連接的回應(yīng)，但是研究人員表示，這類請求所花的時間可以用來判斷目標(biāo)端口是打開的還是關(guān)閉的。因此攻擊者就可以直接利用瀏覽器對受害者的內(nèi)部網(wǎng)絡(luò)進(jìn)行端口掃描。

3、利用桌面通知做社會工程學(xué)攻擊：HTML5有一個新功能——桌面通知。這些出現(xiàn)在瀏覽器之外的彈出窗口，其實是可以用HTML程序代碼進(jìn)行定制的。雖然這種功能帶來了很不錯的交互方式，但也可能導(dǎo)致社會工程學(xué)攻擊，例如網(wǎng)絡(luò)釣魚或者假冒殺毒軟件等。

4、利用地理定位追蹤受害者：地理定位是HTML5新功能中最受注目的一個。因為安全和隱私的考慮，網(wǎng)站必須先得到用戶的批準(zhǔn)，隨后才能獲得位置訊息。然而就和以前出現(xiàn)過的其他功能一樣，例如Vista的用戶帳戶控制，Android的應(yīng)用程序權(quán)限，還有無效的HTTPS憑證等，這些需要用戶作決定的安全措施幾乎沒有任何效果。而一旦有了授權(quán)，網(wǎng)站不僅可以知道受害者的位置，而且還可以在用戶移動時對其進(jìn)行實時追蹤。

5、表單篡改：另一個新功能讓攻擊者可以在被注入JavaScript的網(wǎng)站（例如XSS攻擊）中更改該網(wǎng)頁上的表單行為。舉例來說，攻擊者可以改變一個網(wǎng)絡(luò)商店的正常行為，不是將內(nèi)容送到購買或是登錄頁面，而是將用戶的身分認(rèn)證信息發(fā)送到攻擊者自己的網(wǎng)站。

以上5點(diǎn)HTML5漏洞對于開發(fā)者來說是比較致命的，所以我們在開發(fā)HTML5程序時要非常小心。盡管HTML5有這些安全問題，但我堅信HTML5依然是web的未來。