日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Qualys工程總監(jiān):HTML5強大功能背后的安全陷阱

云安全公司Qualys工程總監(jiān)邁克?施瑪(Mike Shema)發(fā)表評論文章稱,盡管HTML5使網(wǎng)站的功能更為強大,但開發(fā)人員需充分利用其新的技術特征來提高網(wǎng)站的安全性。HTML5允許瀏覽器存儲更多的數(shù)據(jù)并改進了cookie功能,但如果使用不當反而會帶來安全和隱私問題。

10多年的彰武網(wǎng)站建設經(jīng)驗,針對設計、前端、開發(fā)、售后、文案、推廣等六對一服務,響應快,48小時及時工作處理。成都全網(wǎng)營銷推廣的優(yōu)勢是能夠根據(jù)用戶設備顯示端的尺寸不同,自動調整彰武建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調整網(wǎng)站的寬度,無論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設計,從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)從事“彰武網(wǎng)站設計”,“彰武網(wǎng)站推廣”以來,每個客戶項目都認真落實執(zhí)行。

以下為原文:

HTML5技術的出現(xiàn)使得過去20多年一直驅動web內容的技術煥發(fā)了新的活力。值得一提的是,當前主流瀏覽器仍然可以呈現(xiàn)絕大部分20多年前的使用較老web技術的網(wǎng)站,不過現(xiàn)在的網(wǎng)站都希望瀏覽器的功能較以往更加強大。Facebook就嘗試通過使用一個純HTML5移動應用程序來推動這些計算邊界進一步發(fā)展,但發(fā)現(xiàn)數(shù)十億用戶使它受到了一些限制。

新的技術標準同樣帶來了安全問題,網(wǎng)站不會因為僅僅在頁面增加一句定義聲明就會立即得到優(yōu)化。相反,通過采用新的技術特征可以提高網(wǎng)站的安全性,這些特征主要是指包括控制瀏覽器如何與不同的信息來源共享資源以及交互內容,其他特征還包括允許瀏覽器存儲更多的數(shù)據(jù)、Cookie性能的優(yōu)化等,不過如果對這些新特性使用不當,反而會帶來相應的安全和隱私方面的隱患。

跨源資源共享

瀏覽器的安全性絕大部分依仗的是SOP(Same Origin Policy),即同源策略,指一個域的文檔或腳本,不能獲取或修改另一個域的文檔的屬性,也就是AJAX不能跨域訪問。Web資源訪問的根本策略都是建立在SOP上的,這使得后來制訂出很多跨域方案,比如JSONP。

跨源資源共享(CORS),它定義了一種瀏覽器和服務器交互的方式來確定是否允許跨域請求。它有更大的靈活性,但比起簡單地允許所有這些的要求來說更加安全。應用CORS的系統(tǒng)目前包括Face.com、谷歌云存儲API等,主要是為開放平臺向第三方提供訪問的能力。

CORS非常有用,可以共享許多內容,不過這里存在風險。因為它完全是一個盲目的協(xié)議,只是通過HTTP頭來控制。它的風險包括:無法保證HTTP頭的真實性、惡意跨域請求、內部信息泄漏、針對用戶的攻擊等等。

CORS有多種方法定義一個可靠聲明的持續(xù)時間、瀏覽器跨域訪問時應該包含的方法和字頭等。因此務必使這些網(wǎng)站正常工作的必須值保持為最小,而不是對所有的瀏覽器都開放。

iFrame沙箱

iFrame沙箱采用了一種完全不同的策略用以控制瀏覽器如何信任網(wǎng)站內容,盡管仍然用于瀏覽器內部的安全性方面,iFrame的重點已經(jīng)逐漸從共享內容轉移到限制內容的執(zhí)行能力,sandbox屬性可以防止不信任的Web頁面執(zhí)行某些操作,包括:訪問父頁面的DOM、執(zhí)行腳本文件、通過腳本嵌入自己的表單或是操縱表單、對cookie、本地存儲或本地SQL數(shù)據(jù)庫的讀寫、禁用插件、禁止其他瀏覽上下文的導航、禁止彈出窗口和模式對話框等。

iFrame因安全問題而臭名昭著,這主要是因為iFrame常常被用于嵌入第三方內容,而后者則可能會執(zhí)行某些惡意操作。sandbox通過限制被嵌入內容所允許的操作而提升iFrame的安全性,這種方式將沙箱內容與父頁面進行了分離,因此限制了被嵌入內容的權限,不過這并不意味著用戶不再需要檢測數(shù)據(jù)以防止?jié)撛诘墓簟?/p>

基于瀏覽器的存儲

新時代總會帶來新的關鍵詞,“大數(shù)據(jù)”恐怕是當下最流行的,Web應用的發(fā)展,使得客戶端存儲獲得了越來越多的使用,而實現(xiàn)客戶端存儲的方式則是多種多樣。最簡單而且兼容性最佳的方案是Cookie,但是作為真正的客戶端存儲,Cookie則存在很多致命傷。此外,在IE6及以上版本中還可以使用 user Data Behavior、在Firefox下可以使用global Storage、在有Flash插件的環(huán)境中可以使用Flash Local Storage,但是這幾種方式都存在兼容性方面的局限性,因此真正使用起來并不理想。

HTML5中給出了更加理想的解決方案:通過提供本地存儲和Indexed數(shù)據(jù)庫等API接口使得web應用可以在瀏覽器中存儲大量數(shù)據(jù);因此安全性不僅涉及到存儲的數(shù)據(jù),同時也涉及到訪問方式。因此本地存儲對于緩存內容和保存不敏感用戶數(shù)據(jù)來說是一個絕佳的選擇,不過保存密碼、信用卡號或者其它需要安全加密的數(shù)據(jù)則效果不佳。

基于瀏覽器的存儲增加了應用程序收集和操作數(shù)據(jù)的靈活性,只需將處理器中待操作的任務從服務器轉移到瀏覽器即可,但是并不能轉移安全性的需求。

瀏覽器處處充滿危險,當使用HTML5時務必要時刻謹記,HTML5的新特性或許可以讓你的數(shù)據(jù)在瀏覽器中更加安全,但是一旦在服務器和數(shù)據(jù)庫中傳輸時,你需要多加小心。(MK)


網(wǎng)站欄目:Qualys工程總監(jiān):HTML5強大功能背后的安全陷阱
瀏覽路徑:http://www.5511xx.com/article/dpejgji.html