HTML5带来的WEB应用变革及安全问题研究

文章编号:1003-5850(2012)07-0065-03

电脑开发与应用(总573)

・65・

HTML5带来的WEB应用变革及安全问题研究

王荣国

(山东行政学院,济南　250014)

　　摘　要:HTML5是互联网语言HTML的最新标准,它的许多新特性和新功能,让开发人员能够很容易地创建强大的WEB应用程序,使WEB应用发生一系列的变革,同时它也带来了一些新的安全隐患。分析了HTML5使WEB应用在多媒体处理、互动性、虚拟与现实的融合、方便开发与使用等方面发生的变革,研究了它的新元素、本地存储、跨域请求和地理定位等功能存在的安全问题,并从WEB应用开发者与使用者两方面提出了防范风险应对措施,以保障WEB应用的安全。

关键词:HTML5,WEB应用,变革,安全中图分类号:TP309　　　　文献标识码:A

WEBApplicationChangeanditsSecurityProblemCausedbyHTML5

WANGRong-guo

(ShandongAdministrationInstitute,Jinan250014,China)

　　Abstract:HTML5isthelateststandardoftheInternetlanguageHTML,Itsmanynewfeaturesandfunctionalityenablesdeveloperstoeasilycreatepowerfulwebapplication,WEBapplicationwillbehappenaseriesofchanges,atthesametimeitalsobringsnewsecurityrisks.ThearticleanalyzesthattheHTML5causedWEBapplicationchangeinmultimediaprocessing,interactive,virtualandrealityofintegration,facilitatethedevelopmentanduseetc,researchitsnewelements,localstorage,cross-domainrequestandgeographicalpositioningfunctionexistencesecurityproblem,andfromtheWEBapplicationdevelopersanduserstwoaspectsputforwardtobeonguardriskresponsemeasures,inordertoprotecttheWEBapplicationsecurity.

Keywords:HTML5,WEBapplications,change,security

　　自1999年互联网联盟正式发布HTML4.01标准以来,已整整过去了十三载,互联网早已今非昔比。昔日以文本为主的单调WEB页,早已被丰富多彩的多媒体网页所取代。互联网的发展日新月异,各种互联网新技术层出不穷,然而与此极不相称的是HTML4这一互联网语言一直没有多大变化,这期间虽有脚本语言JavaScript和XHTML的产生增强了其性能,但是与今天的互联网应用相比,HTML4已明显落后。为了满足网络应用新需求,各种各样的插件和扩展应运而生,最具代表性的是Adobe公司的FlashPlayer,它提供了HTML4不具备的功能,从而使我们可以直接通过浏览器观看视频,让一个生动活

泼的WEB世界呈现在了我们面前。随着万维网联盟于2008年1月第1份HTML5草案的发布,HTML5开启了WEB应用的新时代,各大著名IT公司相继推出了支持新的网页格式的IT产品。HTML5与之前的版本相比,最为显著的特点是为开发者提供了一个不再依靠插件和扩展的完整应用平台。现在使用HTML5规范的各种WEB应用方兴未艾,势不可挡。它展现出来的许多新特性在改变WEB世界同时也对网络安全带来了许多新挑战。

1　HTML5带来的WEB应用变革

HTML5标准是包括HTML、CSS和JavaScript

*　　收稿日期:2012-03-19,修回日期:2012-05-28

**　王荣国,男,1964年生,副教授,研究方向:计算机应用。・66・(总574)

HTML5带来的WEB应用变革及安全问题研究

2012年　

等在内的一整套技术的组合。这些技术规范,对基于图像、动画、同电脑的交互等HTML5的诸如音视频、

所有WEB应用都标准化,较之前的版本增添了许多新元素、语法和属性,这不仅使WEB应用的开发和使用更便捷,而且将对WEB应用带来一系列前所未有的变革,使网络在交互性、多媒体、本地化等方面充分满足人们对WEB应用的需求。

1.1　WEB应用将跨入富多媒体时代

视频标签

1.2　WEB应用将走上虚拟与现实的整合之路

现在随着人们越来越多地使用智能手机、平板电脑和各种移动设备访问互联网,HTML5的地理定位服务功能将开创一条崭新的虚拟与现实融合的WEB应用之路。过去人们访问WEB世界时,使用和看到的是一个一个的IP地址,而对这一串数字所对应的真实世界却一无所知,比如,要想知道某个访问者的经纬度信息是很困难的,现在HTML5的GeolocationAPI允许用户在WEB应用中共享他们的位置,通过这一地理位置服务功能,网站也就很容易得到用户所处的经度和纬度,甚至海拔、前进方向、速度等信息。这一功能与很容易加入WEB页面的多媒体现场内容进行整合,虽然没有人能预测出将会使WEB世界变成什么样,但是可以断定的是WEB应用可能会以一种令人难以置信的方式,将虚拟世界和现实世界进行融合,未来出现在我们面前的将会是一个亦真亦幻的WEB世界。

1.3　WEB应用的互动性更强

HTML5较之前的版本采用了全新的处理方式处理音视频、图形等多媒体内容。如它的画布标签,可以把浏览器窗口特定区域定义为动态位图,允许使用者在网页上进行绘图,这种功能的改变能够令图片更加具有互动性,甚至允许与网页生成更多的交互,对绘制的图形移动、放大缩小、旋转等。WEB应用开发人员还可以通过使用JavaScript处理画布中的内容,开发出交互图形界面,针对用户操作实时渲染,再配合其引入的WEBGL函数库,可以想象所表现出的画面和场景的互动性一定是让人震撼的。通过

HTML5的DraganddropAPI实现的拖拽释放功能,可让操作者将浏览器的内容直接拖到电脑上也可以将内容从电脑拖到浏览器上,大大增强了用户与WEB的互动性。

1.4　WEB应用开发更容易使用更便捷

HTML5使用了统一的表现规则(CSS)、语言(JavaScript)和数据模型(XML、DOM)来处理文本、音视频和图形,为开发者提供了一个基于统一标准的开发环境,使开发者的工作较使用之前的版本得以简化。标准中新增加的

2　HTML5引发的新安全问题

HTML5许多新功能在使WEB应用的很多方面发生重大变革的同时,也带来了一些全新的安全问题,需要WEB应用开发者和使用者充分注意这些风险的存在并认真对待。

2.1　新元素新属性的安全问题

HTML5增加的许多新元素新属性,虽然给WEB应用带来了令人期待的功能,但这些新元素新属性的安全性没有经过安全验证,可能存在着各种未知的安全漏洞。比如能够执行XSS脚本程序的

以前版本的HTML仅允许网站在本地客户端上　第25卷　第7期电脑开发与应用(总575)

・67・

存储少量的信息,通常以cookies作为信息存储对象,占用的空间也很小,只适于存储简单的会话ID或者简单的档案信息。当用户多次访问相同的数据时就需要多次从服务器上获取,这一方面会降低WEB访问的性能,另一方面这少量的cookies可能会带来一定的风险。而如今WEB应用越来越复杂,数据量越来越大,为了提高WEB的访问性能,HTML5LocalStorage允许浏览器在本地存储大量数据,允许使用新类型应用程序。这一改变在大幅提高WEB访问性能的同时也带来了巨大的安全问题,LocalStorage没有任何保护机制,采用明文存储,用户不主动删除,数据可永久保存。在客户端缺乏有效安全机制的情况下,被保存在本地的一些敏感数据,就能够让进入浏览器的攻击者轻松获得。一些攻击者甚至可以在客户端创建一个缓存,从浏览器读取数据或者把非法代码存储在本地,设立网站假的登录页面,例如电子商务网站,从中窃取用户的登录凭证等信息。2.3　跨域请求的安全问题

在以前的版本中,HTML出于安全方面的考虑,有一个JavaScript同源策略的限制,一般情况下,不允许JavaScript跨域请求调用其他页面的对象。而HTML5标准则放宽了这个限制,允许请求可以发送给任何允许这种请求的服务器,实现了跨域的资源共享。在实际工作中,如果服务器不可信任的话,这就会带来严重的安全问题。另外,浏览器可以连到任何IP地址或网站的端口以后,虽然没有服务器的允许,这种请求收不到任何端口的回应,但攻击者可以直接利用浏览器扫描受害者的内部网络端口,据这类请求所花的时间判断目标端口的开放与关闭。2.4　地理定位的安全问题

虽然出于安全和隐私的考虑,HTML5提供了一套保护机制,让用户在享受位置感知服务时,网站会先

得到用户的批准才能获得位置信息。但是这些让用户作决定的安全措施,对于那些想获得用户重要信息或者攻击者来说几乎没有任何作用。一方面当用户在网页中使用地理定位服务时,网站可以收集用户的位置信息,攻击者也可以通过加入页面的劫持代码获取。另一方面,即使用户没有直接在使用地理定位服务,攻击者也总会想方设法在你不知情的情况下确定你的位置。如让你在不知不觉中授权,有了用户授权,就可以获知用户的准确位置信息,甚至还可以在用户移动时实时追踪,这就存在着暴露用户隐私的巨大隐患。

3　应用HTML5新标准的安全策略

虽然使用HTML5会使WEB应用程序越来越丰富多彩,但其许多增强功能带来的新的威胁和挑战也是不容忽视的。尤其是在目前还没有清晰明确的统一标准的情况下,开发人员和用户要充分认识到使用HTML5的安全风险,做好使用其相关新功能的安全防范。对开发人员来说可以做的最重要的事情就是记住基本的安全原则,考虑多种可行的安全技术策略,如数据验证、防火墙和跟踪插件的执行、Web内容过滤、

提高网络安全环境等。对用户来说本地端要配置防病毒软件、漏洞扫描系统,打开防病毒软件的“网页监控”,及时清理不用的数据,定期或不定期地自动升级检查所存在的漏洞和安全隐患,做好安全防范工作。参考文献:

[1][2][3]

刘华星,杨　庚.HTML5——下一代Web开发标准研

究[J].计算机技术与发展,2011(8):54-58.沈建苗.警惕HTML5引发新的安全问题[N].计算机世界,2010-09-06.

马新强,孙　兆.Web标准与HTML5的核心技术研究[J].重庆文理学院学报,2010(6):61-64.

(上接第64页)

中。参考文献:

[1][2][3][4]

孙利民,李建中,陈　渝,等.无线传感器网络[M].北京:清华大学出版社,2005.

李建中.传感器网络及其数据管理的概念、问题与进展[J].软件学报,2003,10(14):1717-1727.

徐立中,杨锦堂.水文自动测报系统的体系结构研究[J].河海大学学报,1998,26(4):20-23.

孙增义.水情自动测报技术基础及其应用[M].北京:中国水利水电出版社,1999.中应用的体系结构,同时分析了传感器网络的功能结构。

传感器网络作为一种任务型网络,根据其在水文

测控系统中的应用我们将做进一步分析与研究,包括传感器网络的网络协议、拓扑控制等,由于传感器网络不仅要进行数据的传输,而且要进行数据的采集、融合、任务的协同控制等,就需要同时研究网络安全、时间同步、定位技术、数据融合、数据管理、IEEE802.15.4标准等为传感器网络服务的支撑技术。以期达到能将传感器网络很好地应用于大范围水文测报