HTML5安全攻防之新标签攻击详解
我要评论HTML5去掉了很多过时的标签,例如<center>和<frameset>,同时又引入了许多有趣的新标签,例如<video>和<audio>标签可以允许动态的加载音频和视频。
HTML5引入的新标签包括<Audio>、<Video>、<Canvas>、<Article>、<Footer>等等,而这些标签又有一些有趣的属性,例如poster、autofocus、onerror、formaction、oninput,这些属性都可以用来执行javascript。这会导致XSS和CSRF跨域请求伪造。
下面我们要讲到就是这些关键载体。它允许创建XSS的变种并且可以绕过现有的XSS过滤器。
首先来看一个标签:
它使用了一个source标签,而没有指定具体的src,所以后面的onerror方法会立即得到执行。
下面是video的poster属性,它链接到一个图像,是指当视频未响应或缓冲不足时,显示的占位符。
另外还有HTML5新引入的autofocus和formaction属性,autofocus会让元素自动的获取焦点,而formaction属性能覆盖 form 元素的action 属性。
在这个项目里存在用户输入的地方,我们虽然已经针对旧有的标签以及属性进行了过滤和清洗,但是还会存在新标签攻击的漏洞,攻击者利用上面的示例方式就可以对系统进行XSS注入攻击。例如攻击者输入http://www.yujie.com/1.php?text=<videoposter=”javascript:alert(1)”>时就能立即运行攻击脚本。
我们对此攻击的防御方式是,对前端或者后端的过滤器进行优化,添加过滤规则或者黑名单。
以上就是关于新标签攻击的全部内容介绍,希望对大家的学习有所帮助。
相关文章
- 下面小编就为大家带来一篇HTML5 新标签全部总汇(推荐)。小编觉得挺不错的, 现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2016-06-13
关于HTML5 Placeholder新标签低版本浏览器下不兼容的问题分析及解决办
placeholder属性是HTML5 中为input添加的。在input上提供一个占位符,文字形式展示输入字段预期值的提示信息(hint),该字段会在输入为空时显示2016-01-27- 做移动端有一段时间,今天有同事问了我 article 和 section 标签的使用,模模糊糊的解释了下,他似懂非懂,有点小尴尬。忽然间觉得自己有必要再翻翻书籍,重温下 html5 的2014-03-07
html5基础标签(html5视频标签 html5新标签用法)
html5基础,包括html5视频标签和html5新标签等标签用法,大家参考使用吧2013-12-30- HTML5 向开发人员提供了很多新的标签, 如 section, nav, article, header 和 footer 等. 这些标签语义化程度高, 会被经常使用, 但在 IE6, IE7, IE8 和 Firefox 2 等老式浏2012-12-25
- 本文主要介绍了HTML5的标签.不同于以前的标签.更简单.更方便2012-05-28
- HTML 5 是一个新的网络标准,目标在于取代现有的 HTML 4.01, XHTML 1.0 and DOM Level 2 HTML 标准2012-02-17
- 本文主要为大家介绍了HTML5新增元素如何兼容旧浏览器的解决办法,需要的朋友可以参考下2014-05-09
- HTML5给我们带来了很多非常简单但却非常强大的HTML属性:placeholder, download, and autofocus,等等2014-04-23
- 让IE(包括IE6)支持HTML5元素,需要在HTML头部添加一个简单的document.createElement声明,具体祥看本文2014-03-12
最新评论