首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 网站开发 > CSS >

HTML5保险攻防详析之七:新标签攻击

2013-01-18 
HTML5安全攻防详析之七:新标签攻击HTML5去掉了很多过时的标签,例如center和frameset,同时又引入了许多

HTML5安全攻防详析之七:新标签攻击

         HTML5去掉了很多过时的标签,例如<center>和<frameset>,同时又引入了许多有趣的新标签,例如<video>和<audio>标签可以允许动态的加载音频和视频。

         HTML5引入的新标签包括<Audio>、<Video>、<Canvas>、<Article>、<Footer>等等,而这些标签又有一些有趣的属性,例如poster、autofocus、onerror、formaction、oninput,这些属性都可以用来执行javascript。这会导致XSS和CSRF跨域请求伪造。

         下面我们要讲到就是这些关键载体。它允许创建XSS的变种并且可以绕过现有的XSS过滤器。

         首先来看一个标签:


         我们对此攻击的防御方式是,对前端或者后端的过滤器进行优化,添加过滤规则或者黑名单。

         相关文章:

         《关注HTML5安全风险》

         《HTML5安全风险详析之一:CORS攻击》

         《HTML5安全风险详析之二:WebStorage攻击》

         《HTML5安全风险详析之三:WebSQL攻击》

         《HTML5安全风险详析之四:Web Worker攻击》

         《HTML5安全风险详析之五:劫持攻击》

         《HTML5安全风险详析之六:API攻击》

         本文为原创文章,转载请注明:来自蒋宇捷的博客:http://blog.csdn.net/hfahe

热点排行