華 晨 ，施化吉

（江蘇大學(xué) 江 蘇 鎮(zhèn) 江 2 12013）

HTML5是繼HTML4.01,XHTML 1.0和DOM 2 HTML后的又一個(gè)重要版本，旨在消除Internet程序?qū)?Flash，Silverlight，JavaFX一類瀏覽器插件的依賴。除了原先的DOM接口，HTML5增加了更多API，如：本地音頻視頻播放；硬件加速；本地運(yùn)行(即使在 Internet連接中斷之后)；從桌面拖放文件到瀏覽器上傳；語(yǔ)義化標(biāo)記。隨著萬(wàn)維網(wǎng)聯(lián)盟于2008年1月第1份HT ML5草案的發(fā)布,HTML5開(kāi)啟了WEB應(yīng)用的新時(shí)代,各大著名IT公司相繼推出了支持新的網(wǎng)頁(yè)格式的IT產(chǎn)品。HT ML5與之前的版本相比,最為顯著的特點(diǎn)是為開(kāi)發(fā)者提供了一個(gè)不再依靠插件和擴(kuò)展的完整應(yīng)用平臺(tái)。現(xiàn)在使用HT ML5規(guī)范的各種WEB應(yīng)用方興未艾,勢(shì)不可擋。它展現(xiàn)出來(lái)的許多新特性在改變WEB世界同時(shí)也對(duì)網(wǎng)絡(luò)安全帶來(lái)了許多新挑戰(zhàn)[1-2]。

1 HTML5新標(biāo)簽

HTML5在廢除了一些舊標(biāo)簽的同時(shí)也增加了一些新標(biāo)簽來(lái)增強(qiáng)網(wǎng)頁(yè)的表現(xiàn)性能。但這同時(shí)也給攻擊者帶來(lái)了新的機(jī)會(huì)。

一些xss filter如果建立了一個(gè)黑名單的話，則可能不會(huì)覆蓋到HTML5新增的標(biāo)簽和功能，從而發(fā)生XSS。

例如

[3]

這段遠(yuǎn)程加載視頻的代碼成功的繞過(guò)了XSS Filter。

我們對(duì)此攻擊的防御方式是，對(duì)前端或者后端的XSS Filter進(jìn)行優(yōu)化，添加過(guò)濾規(guī)則或者黑名單。