野花社区www在线视频,欧美日本国产在线A∨观

某個(gè)客戶端的數(shù)據(jù)庫(kù)是惡意的，當(dāng)與生產(chǎn)系統(tǒng)同步時(shí)，則可能出現(xiàn)同步問(wèn)題，或者客戶端的潛在惡意數(shù)據(jù)將被插入到生產(chǎn)系統(tǒng)?！睘榱私鉀Q這個(gè)問(wèn)題，開(kāi)發(fā)人員需要能夠驗(yàn)證數(shù)據(jù)是否為惡意的，這其實(shí)是個(gè)很復(fù)雜的問(wèn)題。對(duì)于這個(gè)問(wèn)題的重要性并不是所有人都贊同。Veracode公司首席技術(shù)官Chris Wysopal表示，例如web應(yīng)用程序通過(guò)使用插件或者瀏覽器擴(kuò)展存儲(chǔ)數(shù)據(jù)客戶端就一直存在很多方法?！坝泻芏嘁阎姆椒梢圆倏啬壳安渴鸬腍TML5 SessionStorage屬性，但是標(biāo)準(zhǔn)最終確定時(shí)，這個(gè)問(wèn)題才會(huì)解決。

跨域通信

而其他版本的HTML可能直允許JavaScript發(fā)出XML HTTP請(qǐng)求調(diào)用回原來(lái)的服務(wù)器，而HTML5放寬了這個(gè)限制，XML HTTP請(qǐng)求可以發(fā)送給任何允許這種請(qǐng)求的服務(wù)器。當(dāng)然，如果服務(wù)器不可信任的話，這也會(huì)帶來(lái)嚴(yán)重安全問(wèn)題。“例如，我可以建立一個(gè)mashup(糅合，將兩種以上使用公共或者私有數(shù)據(jù)庫(kù)的web應(yīng)用合并形成一個(gè)整合應(yīng)用)通過(guò) JSON(Javascript Object Notation)將第三方網(wǎng)站的比賽比分拉過(guò)來(lái)，”Cornell表示，“這個(gè)網(wǎng)站可能會(huì)發(fā)送惡意數(shù)據(jù)到我的用戶瀏覽器正在運(yùn)行的應(yīng)用程序上。雖說(shuō) HTML5允許新類(lèi)型的應(yīng)用程序的建立，但如果開(kāi)發(fā)人員在開(kāi)始使用這些功能時(shí)，并不理解他們所建立的應(yīng)用程序的安全意義，那么將會(huì)給用戶帶來(lái)很大安全風(fēng) 險(xiǎn)。”

對(duì)于依賴于PostMessage()來(lái)編寫(xiě)應(yīng)用程序的開(kāi)發(fā)人員而言，必須仔細(xì)檢查以確保信息是來(lái)源于他們自己的網(wǎng)站，否則來(lái)自其他網(wǎng)站的惡意代碼可能會(huì)制造惡意信息，Wysopal補(bǔ)充說(shuō)。這個(gè)功能本身并不是安全的，開(kāi)發(fā)人員已經(jīng)開(kāi)始使用不同的DOM(文檔對(duì)象模型)/瀏覽器功能來(lái)效仿跨域通訊。另一個(gè)相關(guān)問(wèn)題是，萬(wàn)維網(wǎng)聯(lián)盟目前為跨源資源共享設(shè)計(jì)提供了一種使用類(lèi)似與跨域機(jī)制繞過(guò)同源政策的方法?！癐E部署的安全功能與Firefox、Chrome以及Safari都不相同，“開(kāi)發(fā)人員需要確保他們創(chuàng)建過(guò)于寬松訪問(wèn)控制列表的危害，特別是因?yàn)槟承﹨⒖即a目前非常不安全。

Iframe安全
從安全角度來(lái)看，HTML5也有不錯(cuò)的功能，例如計(jì)劃支持iframe的沙盒屬性?！斑@個(gè)屬性將允許開(kāi)發(fā)者選擇數(shù)據(jù)如何解譯的方式，“不幸的是，與大部分HTML一樣，這個(gè)設(shè)計(jì)很可能被開(kāi)發(fā)人員誤解，很可能因?yàn)椴槐阌谑褂枚婚_(kāi)發(fā)人員禁用。如果處理得當(dāng)，這個(gè)功能將能夠幫助抵御惡意第三方廣告或者防止不可信任內(nèi)容重放。”

上一篇：美團(tuán)和滴滴宣戰(zhàn)，誰(shuí)的贏面更大？誰(shuí)會(huì)成為O2O巨頭下一篇：前端工程師如何有效避免常見(jiàn)6種HTML5錯(cuò)誤用法

返回列表

Project

服務(wù)項(xiàng)目