HTML5存在的安全问题开发人员需注意

由于HTML5能够更好的展示音频、图像和视频从而得到开发者们的亲睐，但研究该技术的较好人士表示，它在给开发者带去便利的同时也存在一定的漏洞。苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸多猜测，虽然HTML5的实现还有很长的路要走，但是不能否认，html5所存早的安全性问题，运用html5开发的站长要为应用程序安全开发生命周期部署新的安全功能，从而来应对HTML5带来的安全挑战。

1、客户端存储安全

初期html只允许网站将cookies作为本地信息存储，而这些空间很小，只适用于简单的档案信息或作为储存在其他位置数据的标识符。然而，HTML5 LocalStorage则允许浏览器本地存储大量据库，允许使用新类型应用程序。“随之而来的风险就是，敏感数据可能被存储在本地用户工作站，而物理访问或者破坏该工作站的攻击者，就能够轻松获得敏感数据，这对于使用共享计算机的用户更加危险。

2、泄漏敏感数据

html5提供了的一些列新网站编程方式，但是同时给开发者和网站运营商提出来新的安全调整和隐私风险。或许正是因为HTML5是一种新的技术，因此存在一定的安全隐患，网络应用开发工程师们及其他的开发者们在学习新技术的同时也需要去思考安全问题，HTML5所购建的网页和其他语言编写的网页一样容易泄露一些敏感数据，关于这点开发着在开发的过程中需注意。

3、跨域通信

或许其它版本的html只允许JavaScript发出XML HTTP请求调用回原来的服务器，但HTML5放宽了这个限制，XML HTTP请求可以发送给任何允许这种请求的服务器。当然，如果服务器不可信任的话，这也会带来严重安全问题。

如：我建立一个mashup通过 JSON将第三方网站的比赛比分拉过来，那么这个网站可能会发送恶意数据到我的用户浏览器正在运行的应用程序上。虽说HTML5允许新类型的应用程序的建立，但如果开发人员在开始使用这些功能时，并不理解他们所建立的应用程序的安全意义，那么将会给用户带来很大安全风险。

4、Iframe安全

从安全角度分析，html5也有非常不错的功能，如：支持iframe的沙盒属性，这个属性将允许开发者选择数据如何解译的方式。但是不幸的是，与大部分HTML一样，这个设计很可能被开发人员误解，很可能因为不便于使用而被开发人员禁用。如果处理得当，这个功能将能够帮助抵御恶意第三方广告或者防止不可信任内容重放。

其实，讲真的每一个技术刚刚兴起的时候，都会存在安全性的问题，不过从长远的角度来看，html5的优势依然是非常显著，随着时间的推移，技术不断的升级更新，未来自然会越来越安全。当然了，未雨绸缪地制定HTML5的安全保护策略也是非常有必要的。不过，目前开发人员们能做的较重要的事情是记住基本的安全原则。