资料链接:http://wenku.baidu.com/view/da039867e45c3b3567ec8b9c?fr=prin
HTML5引进了LocalStorage,允许浏览器在客户端存储大量数据,并允许使用新类型的数据。这一调整虽然大大提高了访问性能,却是以牺牲安全为代价,由此带来的安全隐患是巨大的。
以前版本的HTML语言中的同源政策(Same-origin Policy)对JavaScript代码能够访问的页面做了很重要的限制,即JavaScript只能访问与包含它的文档在同一域下的内容,甚至不同的子域名之间的页面也不能通过JavaScript代码互相访问。
而HTML5为实现跨资源共享,开放了这种限制,提供了一种跨域通信机制绕过同源政策。这一机制将允许不同域的服务器能够在Web浏览器的iframe间进行通信。这样一来,攻击者就能够滥用这个功能以获得敏感数据。对于应用程序的开发人员来说,必须仔细检查以确保信息是来源于他们自己的网站,否则来自其他网站的恶意代码可能会制造恶意信息。
WebSocket协议是HTML5实现的浏览器与服务器双向通信的新协议之一,能更好地节约服务器资源和带宽并带到实时通讯。浏览器和服务器只需要一个握手动作就能建立一条快速通道,进行数据的相互传送。
但是,这也带来了极大的安全隐患,攻击者可通过滥用WebSocket进行秘密的后门通信。此外,攻击者还可以直接利用浏览器对受害者的内部网络进行端口扫描。
HTML5带给人们最明显的变化就是增加了Web动画、视频等相关的新标签,并对已有标签的属性进行了调整。这些标签的安全性没有经过验证,可能存在已知或未知的各种安全漏洞。同时,未知的安全问题使得以黑名单策略做防护的设备无从下手,攻击者可以使用新标签和属性直接绕过黑名单策略发起攻击。
地理定位Geolocaltion API是HTML5新功能中最受注目的一个,因为安全和隐私的考虑,网站必须先得到用户的批准,随后才能获得位置信息。然而这些需要用户做决定的安全措施依然存在安全隐患,因为一旦有了授权,网站不仅可以知道用户的位置,而且还可以在用户移动时对其进行实时追踪。如果网页中存在攻击者的劫持代码,那么用户的地理位子信息就会被攻击者获取。
拖放劫持可定义为点击劫持技术(Clickjacking)与HTML5拖放事件的组合。点击劫持攻击在隐藏框中的操作只涉及到点击操作,其攻击范围有所限制。而拖放动持模式将劫持的用户操作由单纯的点击扩展到了拖放行为。在现在的Web应用中,有大量需要用户采用拖放完成的操作,因此,拖放劫持大大扩展了点击劫持的攻击范围。此外,在浏览器中拖放操作是不受同源策略限制的,用户可以把一个域的内容拖放到另外一个域;因此,突破同源政策限制的拖放劫持可以演化出更为广泛的攻击形式,能够突破多种防御。
资料链接:http://cio.it168.com/a2015/0924/1764/000001764955.shtml
1.底层技术优化:引擎,作为H5应用的技术基础,其性能和效率需要优化,唯此优质、重度的应用及游戏才会转向H5应用。目前一些行业领先的游戏公司已经开始将引擎优化作为重要的战略部署,并逐步将优质手游转化为手机页游。随着引擎进一步的优化,未来将会有更多符合用户体验的手机页游产生。
2. 提高体验:目前市场上一些H5应用在界面交互设计方面较为简略,和原生APP有一定差距(其中很多甚至还是从PC页面转化而来,严格意义只是页面而算不上应用);传统网页的形式也不适合在手机有限的显示空间内展示或使用。
3. 固定入口: H5应用和本地应用的一个显著差异在于本地应用服务程序运行在手机本地,并会在手机桌面中生成一个图标,用户只需点击图标就能使用应用服务。而H5应用所有服务都运行在云端,手机上没有保留服务程序,也没有固定的启动入口。
4. 培养使用习惯:智能手机的诞生开始一直和本地应用相伴,用户已经习惯使用本地应用开启服务。目前让用户全部转向使用H5不是一件易事,但随着以上问题的不断解决优化,H5应用的用户基数增涨也将水到渠成。
