手机
当前位置:查字典教程网 >网络安全 >安全其他 >HTML5安全攻防之新标签攻击详解
HTML5安全攻防之新标签攻击详解
摘要:HTML5去掉了很多过时的标签,例如和,同时又引入了许多有趣的新标签,例如和标签可以允许动态的加载音频和视频。HTML5引入的新标签包括、、...

HTML5去掉了很多过时的标签,例如<center>和<frameset>,同时又引入了许多有趣的新标签,例如<video>和<audio>标签可以允许动态的加载音频和视频。

HTML5引入的新标签包括<Audio>、<Video>、<Canvas>、<Article>、<Footer>等等,而这些标签又有一些有趣的属性,例如poster、autofocus、onerror、formaction、oninput,这些属性都可以用来执行javascript。这会导致XSS和CSRF跨域请求伪造。

下面我们要讲到就是这些关键载体。它允许创建XSS的变种并且可以绕过现有的XSS过滤器。

首先来看一个标签:

HTML5安全攻防之新标签攻击详解1

它使用了一个source标签,而没有指定具体的src,所以后面的onerror方法会立即得到执行。

下面是video的poster属性,它链接到一个图像,是指当视频未响应或缓冲不足时,显示的占位符。

HTML5安全攻防之新标签攻击详解2

另外还有HTML5新引入的autofocus和formaction属性,autofocus会让元素自动的获取焦点,而formaction属性能覆盖 form 元素的action 属性。

HTML5安全攻防之新标签攻击详解3

在这个项目里存在用户输入的地方,我们虽然已经针对旧有的标签以及属性进行了过滤和清洗,但是还会存在新标签攻击的漏洞,攻击者利用上面的示例方式就可以对系统进行XSS注入攻击。例如攻击者输入http://www.yujie.com/1.php?text=<videoposter=”javascript:alert(1)”>时就能立即运行攻击脚本。

HTML5安全攻防之新标签攻击详解4

我们对此攻击的防御方式是,对前端或者后端的过滤器进行优化,添加过滤规则或者黑名单。

以上就是关于新标签攻击的全部内容介绍,希望对大家的学习有所帮助。

【HTML5安全攻防之新标签攻击详解】相关文章:

如何解决安全证书错误

详解网络安全:不仅要通过去,还要晓未来

复杂背景的验证码识别破解 以Discuz的动画验证码为例。

HTTPS是什么意思 HTTPS加密保证安全过程详解

网警叔叔讲那些年经历过的奇葩DDoS案例

网络密码破解方法整理

浅谈2016互联网隐私安全需要注意什么

5步教你远离物联网安全的威胁

iPhone轻松输入温度符号技巧

YY娱乐公会如何上推荐

精品推荐
分类导航