對於依賴於PostMessage()來編寫應用程序的開發人員而言,必須仔細檢查以確保信息是來源於他們自己的網站,否則來自其他網站的惡意 代碼可能會製造惡意信息,Wysopal補充說。這個功能本身並不是安全的,開發人員已經開始使用不同的DOM(文檔對象模型)/瀏覽器功能來效仿跨域通 訊。
另一個相關問題是,萬維網聯盟目前為跨源資源共享設計提供了一種使用類似與跨域機制繞過同源政策的方法。
“IE部署的安全功能與Firefox、Chrome以及Safari都不相同,”他指出,“開發人員需要確保他們創建過於寬鬆訪問控制列表的 危害,特別是因為某些參考代碼目前非常不安全。
Iframe安全
從安全角度來看,HTML5也有不錯的功能,例如計劃支持iframe的沙盒屬性。
“這個屬性將允許開發者選擇數據如何解譯的方式,”Wysopal表示,“不幸的是,與大部分HTML一樣,這個設計很可能被開發人員誤解,很 可能因為不便於使用而被開發人員禁用。如果處理得當,這個功能將能夠幫助抵禦惡意第三方廣告或者防止不可信任內容重放。”
好了,今天的內容就分享到這裡~
分享到:
閱讀更多 易學前端筆記 的文章
關鍵字: HTML5 前端開發 JavaScript
