客户端HTML5的安全研究

2014-01-21 00:53施化吉

电子设计工程 2014年22期

华晨，施化吉

（江苏大学江苏镇江 2 12013）

HTML5是继HTML4.01,XHTML 1.0和DOM 2 HTML后的又一个重要版本，旨在消除Internet程序对 Flash，Silverlight，JavaFX一类浏览器插件的依赖。除了原先的DOM接口，HTML5增加了更多API，如：本地音频视频播放；硬件加速；本地运行(即使在 Internet连接中断之后)；从桌面拖放文件到浏览器上传；语义化标记。随着万维网联盟于2008年1月第1份HT ML5草案的发布,HTML5开启了WEB应用的新时代,各大著名IT公司相继推出了支持新的网页格式的IT产品。HT ML5与之前的版本相比,最为显著的特点是为开发者提供了一个不再依靠插件和扩展的完整应用平台。现在使用HT ML5规范的各种WEB应用方兴未艾,势不可挡。它展现出来的许多新特性在改变WEB世界同时也对网络安全带来了许多新挑战[1-2]。

1 HTML5新标签

HTML5在废除了一些旧标签的同时也增加了一些新标签来增强网页的表现性能。但这同时也给攻击者带来了新的机会。

一些xss filter如果建立了一个黑名单的话，则可能不会覆盖到HTML5新增的标签和功能，从而发生XSS。

例如

[3]

这段远程加载视频的代码成功的绕过了XSS Filter。

我们对此攻击的防御方式是，对前端或者后端的XSS Filter进行优化，添加过滤规则或者黑名单。,<a>,<area>等旧标签的新属性</p><p>1)<iframe>标签一直以来都是网络攻击的重灾地区。浏览器厂商也一直积极地想办法限制iframe执行脚本的权限，比如跨窗口访问会有限制，以及IE中的<iframe>标签支持security属性限制脚本的执行。</p><p>在HTML5中专门为<iframe>标签定义了一个新的属性，叫sandbox。它是为了防止不信任的Web页面执行某些操作，例如访问父页面的DOM、执行脚本、访问本地存储等。使用sandbox这一个属性后，<iframe>标签加载的内容将被视为一个独立的”源”(同源策略，限制了来自不同的”document”或脚本，对当前”document”读取或设置某些属性)，其中的脚本将被禁止执行，表单被禁止提交，插件被禁止加载，指向其他浏览对象的链接也会被禁止。</p><p>Sandbox属性可以通过参数来支持更精确的控制。如表1所示。</p><p>有的行为，如”弹出窗口”，即使设置了allow-scripts，也是不允许的。毫无疑问，sandbox属性极大地增强了应用iframe的安全性。</p><p><img src="https://img.fx361.cc/images/2023/0324/bac502e7705835148efbc2c16f6a8ff25fbff101.webp"/></p><p>表1 Sandbox属性参数Tab.1 Sandbox attribute parameters</p><p>2)HTML5中为<a><area>标签定义了一个新的Link Type:noreferrer属性。</p><p>标签指定了noreferrer后，浏览器在请求该标签指定的地址时将不再发送Referer(header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理)。</p><p>这个属性需要开发者手动的添加到页面标签中，这样可以保护敏感信息和隐私。</p><h2>2 HTML5新功能</h2><h3>2.1 CORS攻击</h3><p>浏览器实现的同源策略(Same Origin Policy简称SOP)限制了脚本的跨域请求。指一个域的文档或脚本，不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问，Web资源访问的根本策略都是建立在SOP基础上的。但互联网的发展趋势是越来越开放的，因此跨域访问的需求也变得越来越迫切。但同源策略给web开发者带来了许多困扰，因此web开发者不得不用jsonp、iframe、flash socket解决跨域问题。</p><p>后来出现了CORS-CrossOrigin Resources Sharing，也即跨源资源共享，它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。它是一个妥协，有更大的灵活性，但比起简单地允许所有这些的要求来说更加安全。简言之，CORS就是为了让AJAX可以实现可控的跨域访问而生的。示意图如图1所示。</p><p><img src="https://img.fx361.cc/images/2023/0324/9874f71e00a11466b57db0fe576d0d5687d0fd8d.webp"/></p><p>图1 跨域请求的访问过程Fig.1 Cross-domain access to process the request</p><p>服务器端对于CORS的支持，主要就是通过设置Access-Control-Allow-Origin来进行的。它是非常有用的，但同时也存在风险。因为它完全是一个盲目的协议，只是通过HTTP头来控制。因此它可能产生以下一些风险：</p><p>1)恶意跨域请求</p><p>即便页面只允许来自某个信任网站的请求，但是它也会收到大量来自其他域的跨域请求。这些请求有时可能会被用于执行应用层面的DDOS攻击，并不应该被应用来处理。</p><p>例如，考虑一个搜索页面。当通过'%'参数请求时搜索服务器会返回所有的记录，这可能是一个计算繁重的要求。要击垮这个网站，攻击者可以利用XSS漏洞将Javascript脚本注入某个公共论坛中，当用户访问这个论坛时，使用它的浏览器重复执行这个到服务器的搜索请求。或者即使不采用跨域请求，使用一个目标地址包含请求参数的图像元素也可以达到同样的目的。如果可能的话，攻击者甚至可以创建一个WebWorker执行这种攻击。这会消耗服务器大量的资源。</p><p>2)HTTP头只能说明请求来自一个特定的域，但是并不能保证这个事实。因为HTTP头可以被伪造。</p><p>所以未经身份验证的跨域请求应该永远不会被信任。如果一些重要的功能需要暴露或者返回敏感信息，应该需要验证Session ID。</p><p>3)第三方有可能被入侵</p><p>举一个场景，FriendFeed通过跨域请求访问 Twitter，FriendFeed请求tweets、提交tweets并且执行一些用户操作，Twitter提供响应。两者都互相相信对方，所以FriendFeed并不验证获取数据的有效性，Twitter也针对Twitter开放了大部分的功能。</p><p>但是当如果Twitter被入侵后：</p><p>FriendFeed总是从Twitter获取数据，没有经过编码或者验证就在页面上显示这些信息。但是Twitter被入侵后，这些数据就可能是有害的。</p><p>或者FriendFeed被入侵时：</p><p>Twitter响应 FriendFeed的请求，例如发表 Tweets、更换用户名甚至删除账户。当FriendFeed被入侵后，攻击者可以利用这些请求来篡改用户数据。</p><p>所以对于请求方来说验证接收的数据有效性和服务方仅暴露最少最必须的功能是非常重要的。</p><p>针对以上的安全漏洞，可以采取下面的防范手段</p><p>1)不信任未经身份验证的跨域请求，应该首先验证Session ID或者Cookie。2)通过多种条件屏蔽掉非法的请求，例如HTTP头、参数等。3)对于请求方来说验证接收的数据有效性，服务方仅暴露最少最必须的功能。</p><h3>2.2 跨窗口传递消息（postMessage）</h3><p>postMessage允许每一个window（包括当前窗口、弹出窗口、iframe等）对象往其他的窗口发送文本消息，从而实现跨窗口的消息传递。这个功能是不受同源策略限制的。如果messaging可以接收任何来源的信息，此页面有可能会被攻击；另外postMessage不通过服务器，如果不经过验证和过滤，可能成为XSS注入点。例如如下代码没有对输入数据进行验证和清洗，攻击者完全可以构造恶意的data来注入页面DOM，构造 XSS 攻击，形如“>”等。</p><p>worker.addEventListener(‘message’,function(e){</p><p>document.getElementById(‘test).innerHTML=e.data;</p><p>},false);在使用postMessage()时，有两个安全问题需要注意</p><p>1)在接收窗口验证Domain，甚至验证URL，以防止来自非法页面的消息。</p><p>2)使用postMessage时需要对信息进行安全检查；另外不要使用innerHTML，现代浏览器提供了textContent属性，可以帮助对HTML标签进行过滤。</p><h3>2.3 Web Storage</h3><p>WebStorage，可以为用户创建本地存储，减轻服务器端的压力[4-5]。例如LocalStorage可以长期存储数据，极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。Web Storage分为Session Storage和Local Storage。Session Storage关闭浏览器就会失效，而Local Storage则会一直存在。Web Storage就像一个非关系型数据库，由key-value对组成，可以通过JavaScript对其进行操作。</p><p>LocalStorage的API都是通过Javascript提供的，这样攻击者可以通过XSS攻击窃取信息，例如用户token或者资料。攻击者可以用下面的脚本遍历本地存储。</p><p>[html]view plaincopy</p><p>if(localStorage.length){</p><p>for(I in localStorage){</p><p>console.log(i);</p><p>console.log(localStorage.getItem(i));</p><p>}</p><p>}</p><p>现在对于WebStorage攻击的防御措施主要是以下两点：</p><p>1)数据放在合适的作用域里</p><p>例如用户sessionID就不要用LocalStorage存储，而需要放在sessionStorage里。而用户数据不要储存在全局变量里，而应该放在临时变量或者局部变量里。</p><p>2)不要存储敏感的信息</p><p>因为我们总也无法知道页面上是否会存在一些安全性的问题，一定不要将重要的数据存储在WebStorage里[6-7]。</p><h2>3 结论</h2><p>HTML5是互联网未来的大势所趋。随着浏览器开始支持越来越多的HTML5功能，攻击面也随之产生了新的变化。攻击者可能用HTML5的一些新标签和新功能来绕过一些未及时更新的防御方案。所以开发人员应该充分的了解HTML5的新特征，同时对应用安全性做一个评估。最后让HTML5展现它精彩的魅力，为开发者和广大的用户带来新的体验。</p><p>[1]王荣国.HTML5带来的WEB应用变革及安全问题研究[J].电脑开发与应用，2012(7)：65-66.WANG Rong-guo.WEB application research HTML5 brings change and security issues[J].Development and Application of Computer,2012(7)：65-66.</p><p>[2]树子.HTML5:看到10年后的互联网[J]互联网天地,2010(2)：74-75.SHU Zi.HTML5:See the Internet 10 years later[J]Internet World,2010(2)：74-75.</p><p>[3]高攀，施蔚然.深入分析HTML 5在信息安全上的优化[J].信息安全与技术,2012(8)：83-84,87.GAO Pan,SHI Wei-ran.HTML 5 optimized in-depth analysis on information security[J].Information Security and Technology,2012(8)：83-84,87.</p><p>[4]刘斌.HTML5-未来网络应用的核心技术研究[J]自动化与仪器仪，2010(4)：30-31.LIU Bin.HTML5-Future research on core technology network applications[J]Automation and Instrument Instrument,2010(4)：30-31.</p><p>[5]安靖，刘志.HTML5对web应用产生的影响及安全问题研究[J]信息网络安全，2011(11)：79-80.AN Jing,LIU Zhi.Effects and safety issues arising from HTML5 for web applications[J]Information Network Security,2011(11)：79-80.</p><p>[6]吴翰清.白帽子讲Web安全[M].北京:电子工业出版社，2012.</p><p>[7]周艳平,胡乃平.基于Web的计算机控制技术远程仿真系统开发[J].工业仪表与自动化装置，2010（3）：112-115.ZHOU Yan-ping,HU Nai-ping.Development of remote simulation system for computer control technology based on Web[J].Industrial Instrumentation&Automation，2010（3）：112-115.</p></p> <div class="article_love"> <div class="title">猜你喜欢</div> <div class="article_love_keyword"><span><a href="/tags/1/3/b56527f90b0ae6b4/3096630.html" target="_blank">跨域</a></span><span><a href="/tags/b/3/6a1386ac811b1caa/1.html" target="_blank">脚本</a></span><span><a href="/tags/c/e/203e81f464aed8da/1.html" target="_blank">开发者</a></span></div> <div class="article_love_news"><dd><a class="txt_title" href="/page/2023/0117/16916488.shtml" target="_blank" title="跨域异构体系对抗联合仿真试验平台">跨域异构体系对抗联合仿真试验平台</a><div class="rsorc"><a href="/bk/xtfzjs/20224.html" class="ly" title="系统仿真技术(2022年4期)">系统仿真技术(2022年4期)</a><span class="txt">2023-01-17</span></div></dd><dd><a class="txt_title" href="/page/2022/1125/13482219.shtml" target="_blank" title="酒驾">酒驾</a><div class="rsorc"><a href="/bk/zwxxznj/202211.html" class="ly" title="作文小学中年级(2022年11期)">作文小学中年级(2022年11期)</a><span class="txt">2022-11-25</span></div></dd><dd><a class="txt_title" href="/page/2022/0831/11268636.shtml" target="_blank" title="基于多标签协同学习的跨域行人重识别">基于多标签协同学习的跨域行人重识别</a><div class="rsorc"><a href="/bk/bjhkhtdxxb/20228.html" class="ly" title="北京航空航天大学学报(2022年8期)">北京航空航天大学学报(2022年8期)</a><span class="txt">2022-08-31</span></div></dd><dd><a class="txt_title" href="/page/2022/0425/10274986.shtml" target="_blank" title="为群众办实事，崂山区打出“跨域通办”组合拳">为群众办实事，崂山区打出“跨域通办”组合拳</a><div class="rsorc"><a href="/bk/dbck/20221.html" class="ly" title="读报参考(2022年1期)">读报参考(2022年1期)</a><span class="txt">2022-04-25</span></div></dd><dd><a class="txt_title" href="/page/2021/0425/10299950.shtml" target="_blank" title="G-SRv6 Policy在跨域端到端组网中的应用">G-SRv6 Policy在跨域端到端组网中的应用</a><div class="rsorc"><a href="/bk/kxj/202124.html" class="ly" title="科学家(2021年24期)">科学家(2021年24期)</a><span class="txt">2021-04-25</span></div></dd><dd><a class="txt_title" href="/page/2020/1204/13959906.shtml" target="_blank" title="安奇奇与小cool 龙（第二回）">安奇奇与小cool 龙（第二回）</a><div class="rsorc"><a href="/bk/ktnwxxb/202011.html" class="ly" title="课堂内外(小学版)(2020年11期)">课堂内外(小学版)(2020年11期)</a><span class="txt">2020-12-04</span></div></dd><dd><a class="txt_title" href="/page/2017/0903/15930430.shtml" target="_blank" title="快乐假期">快乐假期</a><div class="rsorc"><a href="/bk/zxs/201719.html" class="ly" title="中学生(2017年19期)">中学生(2017年19期)</a><span class="txt">2017-09-03</span></div></dd><dd><a class="txt_title" href="/page/2017/0324/15930242.shtml" target="_blank" title="小编的新年愿望">小编的新年愿望</a><div class="rsorc"><a href="/bk/zxs/20171.html" class="ly" title="中学生(2017年1期)">中学生(2017年1期)</a><span class="txt">2017-03-24</span></div></dd><dd><a class="txt_title" href="/page/2016/1227/432927.shtml" target="_blank" title="“85后”高学历男性成为APP开发新生主力军">“85后”高学历男性成为APP开发新生主力军</a><div class="rsorc"><a href="/bk/jj/201629.html" class="ly" title="经济(2016年29期)">经济(2016年29期)</a><span class="txt">2016-12-27</span></div></dd><dd><a class="txt_title" href="/page/2016/0310/691118.shtml" target="_blank" title="16%游戏开发者看好VR">16%游戏开发者看好VR</a><div class="rsorc"><a href="/bk/chipxdn/20163.html" class="ly" title="CHIP新电脑(2016年3期)">CHIP新电脑(2016年3期)</a><span class="txt">2016-03-10</span></div></dd></div> </div><div class="other_pel mt80"> <p class="fl"><a href="/bk/dzsjgc/201422.html" target="_blank"><img src="https://img.fx361.cc/images/2023/0324/c5a7157cb32e73b2fa9a3beb1e120b0d16b02b50.webp" alt=""></a><span class="p1"><a href="/bk/dzsjgc/" target="_blank">电子设计工程</a></span><span class="p2"><a href="/bk/dzsjgc/201422.html" target="_blank">2014年22期</a></span></p> <dl class="fl"><dt>电子设计工程的其它文章</dt><dd><a href="/page/2014/0121/19413734.shtml" title="基于VC++的报表自动生成技术">基于VC++的报表自动生成技术</a></dd><dd><a href="/page/2014/0121/19416168.shtml" title="基于SRG的快速图像分割算法研究与实现">基于SRG的快速图像分割算法研究与实现</a></dd><dd><a href="/page/2014/0121/19413709.shtml" title="舰船武备健康管理系统故障诊断算法设计及实现">舰船武备健康管理系统故障诊断算法设计及实现</a></dd><dd><a href="/page/2014/0121/19413684.shtml" title="蚁群算法在求解TSP问题中的改进研究">蚁群算法在求解TSP问题中的改进研究</a></dd><dd><a href="/page/2014/0121/19413582.shtml" title="基于Android平台课堂点名系统的设计与实现">基于Android平台课堂点名系统的设计与实现</a></dd><dd><a href="/page/2014/0121/19413591.shtml" title="基于Moodle的在线学习平台的设计与实践">基于Moodle的在线学习平台的设计与实践</a></dd></dl> </div></div> </div> </div> <div class="sidebarR">  <div class="tab01 mb20"><div class="tabArrow"></div><div class="tabItem"><div class="tabTit"><a href="#">杂志排行</a></div> <div class="tabCont"><ol><li><p class="row01"><span class="topNum">1</span><a href="/bk/hzjjykj/202413.html" class="row01a">《合作经济与科技》</a><span class="row01_fr"><a href="/bk/hzjjykj/202413.html">2024年13期</a></span></p></li><li><p class="row01"><span class="topNum">2</span><a href="/bk/hyyjk/202410.html" class="row01a">《婚育与健康》</a><span class="row01_fr"><a href="/bk/hyyjk/202410.html">2024年10期</a></span></p></li><li><p class="row01"><span class="topNum">3</span><a href="/bk/swyzhsby/20247.html" class="row01a">《思维与智慧·上半月》</a><span class="row01_fr"><a href="/bk/swyzhsby/20247.html">2024年7期</a></span></p></li><li><p class="row01"><span class="topNum">4</span><a href="/bk/tckjyjs/202311.html" class="row01a">《陶瓷科学与艺术》</a><span class="row01_fr"><a href="/bk/tckjyjs/202311.html">2023年11期</a></span></p></li><li><p class="row01"><span class="topNum">5</span><a href="/bk/zgsr/20247.html" class="row01a">《中国商人》</a><span class="row01_fr"><a href="/bk/zgsr/20247.html">2024年7期</a></span></p></li><li><p class="row01"><span class="topNum">6</span><a href="/bk/jsbl/20244.html" class="row01a">《教师博览》</a><span class="row01_fr"><a href="/bk/jsbl/20244.html">2024年4期</a></span></p></li><li><p class="row01"><span class="topNum">7</span><a href="/bk/sdjy/20246.html" class="row01a">《师道·教研》</a><span class="row01_fr"><a href="/bk/sdjy/20246.html">2024年6期</a></span></p></li><li><p class="row01"><span class="topNum">8</span><a href="/bk/zgdwmy/20246.html" class="row01a">《中国对外贸易》</a><span class="row01_fr"><a href="/bk/zgdwmy/20246.html">2024年6期</a></span></p></li><li><p class="row01"><span class="topNum">9</span><a href="/bk/bl/20246.html" class="row01a">《伴侣》</a><span class="row01_fr"><a href="/bk/bl/20246.html">2024年6期</a></span></p></li><li><p class="row01"><span class="topNum">10</span><a href="/bk/jjjsxzxx/20246.html" class="row01a">《经济技术协作信息》</a><span class="row01_fr"><a href="/bk/jjjsxzxx/20246.html">2024年6期</a></span></p></li></ol> </div></div> </div> </div> <div class="clr"></div> </div> </div>  <div class="footer"> <p><a href="/aboutus/index.html">关于参考网</a></p> </div> <script> if ('serviceWorker' in navigator) { window.onload = function () { navigator.serviceWorker.register('/sw.js'); }; } </script> <script type="text/javascript" src="https://s1.pstatp.com/cdn/expire-1-M/jquery/3.4.0/jquery.min.js"></script> <script type="text/javascript" src="https://s1.pstatp.com/cdn/expire-1-M/sticky-kit/1.1.3/sticky-kit.min.js"></script> <script type="text/javascript" src="https://s1.pstatp.com/cdn/expire-1-M/jquery.lazyload/1.9.1/jquery.lazyload.js"></script> <script type="text/javascript"> document.write('<script src="https://img.fx361.cc/cdn/w/index_cc.js"><\/script>'); </script> </body> </html>