H5是指第五代HTML(即HTML5),是一种标记语言,用于构建和展示内容上万维网 。它已经于2014年10月28日由万维网联盟 (W3C)定稿并发表。这是自万维网成立以来HTML标准的第五次修订。以前的版本即HTML4,被标准化于1997年。
其核心目的是改善与支持的语言为最新的多媒体,同时保持它被人类容易阅读和理解一致地由计算机和设备( 网络浏览器 , 解析器等)。 HTML5是为了归入不仅是HTML 4,但也XHTML 1和DOM级别2 HTML。
以下其紧前HTML 4.01和XHTML 1.1,HTML5是这样的事实,在万维网上共同使用的HTML和XHTML具有通过各种规格引入的功能的混合物,以及这些由软件产品如web引入一个响应浏览器和那些由常见的做法建立的。也定义一个单一的尝试标记语言可以写入HTML或XHTML的。 它包括详细的处理模式,以鼓励更多的可互操作的实现; 它延伸,改善和合理化可用于文档的标记,并介绍了标记和应用程序编程接口 (API)的复杂的web应用程序 。出于同样的原因,HTML5是也跨平台的移动应用的潜在候选 。 HTML5的许多功能已经建成了能够在低功耗设备如智能手机和平板电脑上运行的考虑。 在2011年12月,研究公司Strategy Analytics预测销售的HTML5兼容的手机会前1十亿在2013年。
特别是,HTML5增加了许多新的语法特性。 这些措施包括新<video> <audio>和<canvas> 元素 ,还有集成的可伸缩矢量图形(SVG)的含量(取代通用<object>标签),并MATHML的数学公式。 这些功能的设计可以很容易地包括和处理多媒体和图形内容在网络上,而不必求助于专有插件和API的 。 其他新的页面结构元素,如<main> <section> <article> <header> <footer> <aside> <nav>和<figure>旨在以丰富的语义文件的内容。 新属性已被引入,某些元素和属性已被删除及一些元素,如<a> <cite>和<menu>已被更改,重新定义或标准化。 API和文档对象模型 (DOM),不再是事后的想法,但HTML5规范的基本组成部分。 HTML5也由所有符合浏览器定义的一些细节需要处理的无效文档,以便语法错误将统一处理和其他用户代理 。
资料链接:http://wenku.baidu.com/view/da039867e45c3b3567ec8b9c?fr=prin
HTML5引进了LocalStorage,允许浏览器在客户端存储大量数据,并允许使用新类型的数据。这一调整虽然大大提高了访问性能,却是以牺牲安全为代价,由此带来的安全隐患是巨大的。
以前版本的HTML语言中的同源政策(Same-origin Policy)对JavaScript代码能够访问的页面做了很重要的限制,即JavaScript只能访问与包含它的文档在同一域下的内容,甚至不同的子域名之间的页面也不能通过JavaScript代码互相访问。
而HTML5为实现跨资源共享,开放了这种限制,提供了一种跨域通信机制绕过同源政策。这一机制将允许不同域的服务器能够在Web浏览器的iframe间进行通信。这样一来,攻击者就能够滥用这个功能以获得敏感数据。对于应用程序的开发人员来说,必须仔细检查以确保信息是来源于他们自己的网站,否则来自其他网站的恶意代码可能会制造恶意信息。
WebSocket协议是HTML5实现的浏览器与服务器双向通信的新协议之一,能更好地节约服务器资源和带宽并带到实时通讯。浏览器和服务器只需要一个握手动作就能建立一条快速通道,进行数据的相互传送。
但是,这也带来了极大的安全隐患,攻击者可通过滥用WebSocket进行秘密的后门通信。此外,攻击者还可以直接利用浏览器对受害者的内部网络进行端口扫描。
HTML5带给人们最明显的变化就是增加了Web动画、视频等相关的新标签,并对已有标签的属性进行了调整。这些标签的安全性没有经过验证,可能存在已知或未知的各种安全漏洞。同时,未知的安全问题使得以黑名单策略做防护的设备无从下手,攻击者可以使用新标签和属性直接绕过黑名单策略发起攻击。
地理定位Geolocaltion API是HTML5新功能中最受注目的一个,因为安全和隐私的考虑,网站必须先得到用户的批准,随后才能获得位置信息。然而这些需要用户做决定的安全措施依然存在安全隐患,因为一旦有了授权,网站不仅可以知道用户的位置,而且还可以在用户移动时对其进行实时追踪。如果网页中存在攻击者的劫持代码,那么用户的地理位子信息就会被攻击者获取。
拖放劫持可定义为点击劫持技术(Clickjacking)与HTML5拖放事件的组合。点击劫持攻击在隐藏框中的操作只涉及到点击操作,其攻击范围有所限制。而拖放动持模式将劫持的用户操作由单纯的点击扩展到了拖放行为。在现在的Web应用中,有大量需要用户采用拖放完成的操作,因此,拖放劫持大大扩展了点击劫持的攻击范围。此外,在浏览器中拖放操作是不受同源策略限制的,用户可以把一个域的内容拖放到另外一个域;因此,突破同源政策限制的拖放劫持可以演化出更为广泛的攻击形式,能够突破多种防御。
资料链接:http://cio.it168.com/a2015/0924/1764/000001764955.shtml
1.底层技术优化:引擎,作为H5应用的技术基础,其性能和效率需要优化,唯此优质、重度的应用及游戏才会转向H5应用。目前一些行业领先的游戏公司已经开始将引擎优化作为重要的战略部署,并逐步将优质手游转化为手机页游。随着引擎进一步的优化,未来将会有更多符合用户体验的手机页游产生。
2. 提高体验:目前市场上一些H5应用在界面交互设计方面较为简略,和原生APP有一定差距(其中很多甚至还是从PC页面转化而来,严格意义只是页面而算不上应用);传统网页的形式也不适合在手机有限的显示空间内展示或使用。
3. 固定入口: H5应用和本地应用的一个显著差异在于本地应用服务程序运行在手机本地,并会在手机桌面中生成一个图标,用户只需点击图标就能使用应用服务。而H5应用所有服务都运行在云端,手机上没有保留服务程序,也没有固定的启动入口。
4. 培养使用习惯:智能手机的诞生开始一直和本地应用相伴,用户已经习惯使用本地应用开启服务。目前让用户全部转向使用H5不是一件易事,但随着以上问题的不断解决优化,H5应用的用户基数增涨也将水到渠成。
