我们应注意的HTML5四大安全漏洞

“虽然，HTML5对加强网站互动性的新功能有着一定的作用和贡献，但是对于不怀好意者，HTML5的“漏洞”更容易成为他们的攻击目标。”也不记得是在哪本书上看到的这段话，虽然很简短，但是却发人深省，使我们这些开发者不得不警醒，到底html5有哪些漏洞容易被攻击呢？这不仅对html5很重要，而且对于我们今后的开发工作也很重要，这里就为大家简单的描述一些html5的漏洞，希望大家今后能够多加注意，谨防被攻击。


1、点击劫持
点击劫持，大家很熟悉的一种攻击方式，点击劫持就是窃取目标的鼠标按钮点击，然后将点击定向到攻击者所指定的其他页面，这样被攻击者就在糊里糊涂的情况下点击了隐藏的链接。对于防范点击劫持，最好的方法是采取Framekilling的技术。但是html5新增的沙盒属性会让网站停止执行java脚本，这样的做法虽然比较安全，但是会抵消目前对于点击劫持最好的防御措施。


2、桌面攻击
这里的桌面攻击指的是html5的新功能---桌面通知，这个新功能出现在浏览器之外的弹出窗口，带来了很不错的交互方式，但是桌面通知带来的可能是社会工程学攻击，比如最常见的网络钓鱼或者假冒杀毒软件等，也是很危险的一个隐患。


3、定位攻击
地理定位这项新功能是html5所有新功能中最受瞩目的一个，出于对保护隐私的角度考虑，网站必须得到用户允许才能进行定位，但是一些Vista的用户帐户控制，Android的应用程序权限，还有无效的HTTPS凭证等，这些需要用户作决定的安全措施几乎没有任何效果。而一旦有了授权，网站不仅可以知道受害者的位置，而且还可以在用户移动时对其进行实时追踪。


4、表单篡改
另一个安全隐患就是攻击者可以在被注入JavaScript的网站（例如XSS攻击）中更改该网页上的表单行为，这样攻击者就能将用户的身份认证信息发送到攻击者自己的网站。


通过以上讲解Html5的漏洞对于开发者来说是比较致命的，所以这就告诫大家在今后html5的开发工作中需要多加注意。