本節書摘來自華章計算機《Web應用漏洞偵測與防禦:揭秘鮮為人知的攻擊手段和防禦技術》一書中的第1章,第1.1節,作者:(美) 希馬(Shema, M.)著, 更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
歡迎使用,這個簡單的聲明會使得網頁正式成為HTML5網頁。W3C在<code>http://www.w3.org/TR/html5-diff</code>提供了一個文檔,該文檔描述了HTML5和HTML4之間的巨大差别,下面的清單顯示了這些有趣的變化。
你所需要的僅僅隻有。現代浏覽器将會以此作為指令,采納解釋HTML的标準模式,不再需要争論HTML和XHTML哪個更好,也不再需要為文檔類型聲明添加DTD。
編碼格式傾向于使用UTF-8。這種編碼格式最便于HTTP傳輸,同時與大多數語言表達方式保持相容。要注意其他字元編碼與UTF-8在互相轉換過程中可能産生的安全錯誤。
HTML解析有了明确規則。不再依賴或受制于浏覽器實作中的怪異模式,怪異模式導緻模棱兩可,進而導緻不安全。明确訓示如何處理無效字元(例如NULL位元組)或不比對标簽,減少了浏覽器“修正”HTML以防注入攻擊。
新的标簽及屬性宣告了依賴于黑名單的安全過濾程式的末日。對HTML4規範中列出的每個标簽的所有細心關注,在HTML5中也需要做到。
複雜性的增加意味着安全性的減弱,捕獲暴露弱點的極端狀況以及病态情況變得更加困難。
全面增加新的API,從媒體元素到Base64轉換,再到注冊定制協定處理程式。這增加了實作的複雜性,可能會在浏覽器中引入bug。
本章将介紹其中一些特定問題,其他問題将會在其他章節進行介紹。
![用 Canvas 編織璀璨星空圖[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)