Web安全课堂 HTML5安全与防御

本套课程在线学习（网盘地址，保存即可免费观看）地址：

扫描二维码免费下载观看

链接：https://pan.quark.cn/s/0b5af4a1b3ed

00:12 - HTML5的安全问题与新特性

对话讨论了HTML5作为HTML的最新版本，引入了新的标签、属性和功能，增强了网站和应用程序的多样性和强大性。随着HTML5的出现，一些安全问题也随之产生，这些安全问题主要集中在前端，特别是新标签和属性的出现，为XSS（跨站脚本）攻击提供了新的攻击点和方法。对话建议通过不断实践和摸索来更深入地理解和防御这些安全问题。

02:29 - 防火墙对特定攻击代码的拦截原理及绕过方法

讨论了防火墙如何通过特征识别拦截特定攻击代码，如通过关键词黑名单进行请求拦截。介绍了绕过这种拦截的方法，包括使用HTML5新标签和属性，以及利用防护产品未及时更新的漏洞。此外，还提及了HTML5引入的新功能可能带来的新的攻击性，如CORS、web本地存储和Websocket等。

05:44 - CORS在网页开发中的作用与安全风险

跨域资源共享（CORS）机制允许不同域的站点互相访问资源，克服了同源策略的限制，使得AJAX请求可以跨域进行。CORS通过设置响应头`access control allow origin`来授权特定域的访问。然而，这种机制在带来便利的同时也伴随着安全问题。开发者倾向于使用通配符（星号）来简化设置，允许所有来源的请求，这可能导致同源策略失效，从而引发攻击或信息泄露。安全人员为此开发了利用工具，例如'Share of the Future'，利用CORS进行恶意活动。

08:40 - 利用Share of Future进行页面劫持的演示

通过使用Share of Future软件，演示了如何进行页面劫持。首先，通过设置代理和端口访问控制页面，然后在浏览器地址栏输入攻击代码，实现对当前页面内容的劫持和修改。此过程中利用了CORS（跨源资源共享）进行数据传输，展示了数据如何通过CORS传送到控制端并被渲染。此外，也提到了针对此类安全问题的解决方案，例如验证身份和确认请求的有效性。

12:15 - Web本地存储安全性与解决方案

讨论了使用Web本地存储（如本地存储和sessionStorage）来存储大量信息的新特性，及其带来的问题，如敏感信息泄露风险。提出了避免存储敏感信息、使用不同域、减少使用本地存储以及使用sessionStorage等解决策略。此外，还提到了Web SQL数据库的安全问题，包括SQL注入和敏感数据丢失，并给出了相应的防范建议，如对查询进行关键词过滤。

14:35 - HTML5新特性与Web安全问题

通过引入HTML5的新特性，尤其是history API中的pushState方法，可以实现对钓鱼网站地址的隐藏，从而避免攻击代码直接暴露在URL中。这种技术改进了传统的反射型XSS攻击方式，使得攻击更加隐蔽，即使用户访问的地址看起来正常，实际已受到攻击。此外，HTML5的出现不仅引入了新的攻击方法，还扩大了原有攻击的范围，例如历史记录的伪装、URL隐藏以及使用新标签和属性绕过黑名单。针对这些新特性，安全产品和开发者需要更新防御策略以应对新的安全挑战。

该内容转载自网络，仅供学习交流，勿作他用，如有侵权请联系删除。

https://pan.quark.cn/s/8c91ccb5a474