李馳 李林

摘要：Web安全的重點(diǎn)正從服務(wù)器端轉(zhuǎn)移到Web前端。伴隨著HTML5新技術(shù)的興起， Web前端的安全問(wèn)題更為突出。對(duì)傳統(tǒng)的Web前端安全問(wèn)題XSS、CSRF、界面操作劫持進(jìn)行了闡述，對(duì)由HTML5中的新標(biāo)簽屬性、Web Workers、Web Storage、postMessage、CSS3等新技術(shù)所帶來(lái)的安全問(wèn)題進(jìn)行了全面細(xì)致的分析，給出了一系列安全策略。

關(guān)鍵詞：Web前端；XSS；CSRF；界面操作劫持；HTML5

DOIDOI：10.11907/rjdk.161088

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2016）005-0185-03

0 引言

網(wǎng)絡(luò)安全總是隨著時(shí)代的變遷而變化的。早期的互聯(lián)網(wǎng)，Web并非主流應(yīng)用，因?yàn)楣δ芎苋?，黑客們往往不屑攻擊。隨著互聯(lián)網(wǎng)的發(fā)展，Web功能日漸強(qiáng)大，防火墻等技術(shù)的應(yīng)用，使得非Web服務(wù)很難被攻擊，于是黑客們將攻擊重點(diǎn)轉(zhuǎn)向了Web應(yīng)用。如果說(shuō)早期Web1.0時(shí)代的安全性問(wèn)題主要體現(xiàn)在操作系統(tǒng)、緩沖區(qū)溢出、數(shù)據(jù)庫(kù)SQL注入等Web服務(wù)器端的話，那么到了Web2.0時(shí)代，安全問(wèn)題就集中在XSS、CSRF、ClickJacking等Web前端。伴隨著移動(dòng)互聯(lián)的發(fā)展，HTML5技術(shù)成為大量黑客的目標(biāo)。所以，本文對(duì)于傳統(tǒng)的Web前端以及HTML5出現(xiàn)后所帶來(lái)的安全問(wèn)題進(jìn)行了研究和探討。

1 傳統(tǒng)的Web前端安全性問(wèn)題

1.1 XSS

XSS全稱Cross Site Script，中文名跨站腳本攻擊，它是指由于黑客往網(wǎng)頁(yè)中注入了惡意的腳本，從而導(dǎo)致瀏覽器在呈現(xiàn)頁(yè)面時(shí)執(zhí)行了非預(yù)期的惡意功能。XSS分為3種類型：①反射型XSS，是黑客利用一些社會(huì)工程學(xué)誘騙用戶點(diǎn)擊一個(gè)惡意鏈接，服務(wù)器直接將這個(gè)帶有惡意腳本的內(nèi)容反射給用戶的瀏覽器，從而攻擊成功；②存儲(chǔ)型XSS，是黑客在自己的瀏覽器中提交一段帶有惡意腳本的留言，這個(gè)留言會(huì)被服務(wù)器保存到數(shù)據(jù)庫(kù)中，下次其它用戶查看這段留言時(shí)就會(huì)被攻擊；③DOM Base XSS，屬于一種特殊的反射型XSS，不需要被服務(wù)器端解析響應(yīng)，直接在瀏覽器客戶端被JavaScript代碼解析。下面來(lái)看一個(gè)典型的反射型XSS。

黑客誘騙用戶點(diǎn)擊了如下一個(gè)鏈接：