HTML5安全攻防详细解说
HTML5对旧有的安全策略进行了非常多的补充。HTML5为iframe元素增加了sandbox属性防止不信任的Web页面执行某些操作,例如访问父页面的DOM、执行脚本、访问本地存储或者本地数据库等等。以下是小编为大家搜索整理的HTML5安全攻防详细解说,希望能给大家带来帮助!更多精彩内容请及时关注我们应届毕业生考试网!
一、iframe沙箱
HTML5为iframe元素增加了sandbox属性防止不信任的Web页面执行某些操作,例如访问父页面的DOM、执行脚本、访问本地存储或者本地数据库等等。但是这个安全策略又会带来另外的'风险,这很有趣,例如ClickJacking攻击里阻止JavaScript脚本的运行来绕过JavaScript的防御方式。
二、CSP内容安全策略
XSS通过虚假内容和诱骗点击来绕过同源策略。 XSS攻击的核心是利用了浏览器无法区分脚本是被第三方注入的,还是真的是你应用程序的一部分。CSP定义了Content-Security-Policy HTTP头来允许你创建一个可信来源的白名单,使得浏览器只执行和渲染来自这些来源的资源,而不是盲目信任服务器提供的所有内容。即使攻击者可以找到漏洞来注入脚本,但是因为来源不包含在白名单里,因此将不会被执行。
XSS攻击的原理
三、XSS过滤器
Chrome、Safari这样的现代浏览器也构建了安全防御措施,在前端提供了XSS过滤器。例如
在Chrome中将无法得到执行,如下图所示。
四、其他
另外HTML5的应用程序访问系统资源比Flash更受限制。
最后,关于HTML5专门的安全规范目前还在讨论中,有的人希望分散到HTML5规范的各个章节,有的人希望单独列出,目前没有单独的内容,因为不仅要考虑Web App开发者的安全,还要考虑实现HTML5支持的厂商,对它们进行规范和指导。
-
解析动态NAT配置
个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。下面是小编带来的动态NAT配置如下:1.定义内部访问列表2.定义合法IP地址池(合法地址池的名为ABC,合法范围为:到)3.设置复用动态IP地址转换。4.在端口上启用NAT5.验证...
-
家庭路由器选购的几大要点
着用户的需求越来越多,个性化的需求也越来越多,很多品牌的无线路由器里都内置了不少实用的功能,如:ip宽带控制、wds无线桥接、qss快速安全设置,更高级的还会有arp攻击防护等高级功能。那么我们家庭用什么样的无线路由器适合自己呢?下面,小编将和大家来探讨一番。1.路...
-
路由器光猫怎么进行无线桥接
家里的ADSL宽带免费升级为光纤网络后,运营商给安装了带无线路由器功能的光猫,,该怎么进行无线桥接,如何设置才不会冲突?无线路由器与光猫进行无线桥接如何设置才能不冲突?一起跟着小编来看看怎么设置的。1.进入光猫管理界面,或从光猫的背面查看管理IP,华为/中...
-
交换机分布式链路聚合技术
IRF技术将多台交换设备组合成一个高性能的整体,目的是以尽可能少的开销,获得尽可能高的网络性能和网络可用性。支持IRF技术的设备都具备三个重要特性:分布式设备管理DDM、分布式链路聚合DLA和分布式弹性路由DRR。这三项技术是完成IRF技术目标不可缺少的环节。其中...