摘要:在中�����,元素就是�����。標簽包括一個元素���,包括一個文本節(jié)點����。攻擊和注入攻擊��。解決辦法可以判斷和是否相等來判斷站點是否處于中��。
HTML 簡介
HTML 歷史
最初的 HTMl 是由 CERN 負責(zé)制定的����,后來轉(zhuǎn)交給 IETF�。
在 1990-1995 年期間, HTML 經(jīng)歷了許多次的版本修改與擴充����;
1995 年的時候 HTML 的版本更新到了 HTML3.0;1997 年又完成了 HTML3.2���;
同年也完成了 HTML4���;次年,W3C 決定停止發(fā)展 HTML,轉(zhuǎn)向和 XML 等效的 XHTML�,XHTML1.0 在 2000 年制訂完成;
發(fā)布了 XHTML1.0 后�,在 XHTML 模塊化的旗幟下,W3C 發(fā)布了與 HTML 和 XHTML 不兼容的 XHTML2.0�;
在 2003 年,XForms 的發(fā)布重新點燃了人們對于 HTML 的興趣�,人們意識到 XML 僅僅適合被用作新技術(shù)(如 RSS,Atom)的載體����,而不適合用來替換現(xiàn)有的技術(shù)(如 HTML);
2004 年的 W3C 的研討會上一些 HTML5 的早期提案被提交給 W3C�����,但是被 W3C 以該提案與其發(fā)展理念相沖突為由給拒絕���,于是 W3C 決定繼續(xù)開發(fā) XHTML����;
隨后 Apple�,Mozilla 和 Opera 一起創(chuàng)建了 WHATWG,版權(quán)為三個創(chuàng)始公司所有��,WHATWG 的幾個基本原則:保持向下兼容,修改規(guī)范而不是實現(xiàn)��,規(guī)范必須足夠詳細防止實現(xiàn)規(guī)范的公司互相去逆向����;WHATWG 要求 HTML5 規(guī)范包括 HTML4,XHTML1.0 和 DOM2HTML�����;
2006 年 W3C 表示了對 HTML5 開發(fā)的興趣��,在 2007 年和 WHATWG 組建了一個工作組來開發(fā) HTML5 規(guī)范����,WHATWG 的三個創(chuàng)始人公司也允許 W3C 將 HTML5 規(guī)范掛到 W3C 的名義下����;
兩個團隊一起工作了多年,直到 2011 年�����,兩個團隊出現(xiàn)了分歧��,W3C 希望將 HTML5 定位為 HTML 系列的最后一個規(guī)范,而 WHATWG 希望繼續(xù)改進和迭代 HTML5 規(guī)范��。兩個團隊也一起工作到現(xiàn)在���。
HTML 的可擴展性
HTML 提供了很廣泛的擴展性支持來為 HTML 文檔增添語義化的支持:
使用 class 屬性來拓展元素的含義與行為��,但是使用更加符合語義的元素可以幫助游覽器以及其它插件更好的識別出元素所代表的含義與行為��。
使用 data-*="" 來將數(shù)據(jù)綁定到元素上��,HTML 也提供了相應(yīng)的 API 來查詢和修改這些數(shù)據(jù)��。
使用 來定義元數(shù)據(jù)���。
使用 rel="" 注明擴展文檔的預(yù)定義類型。
使用
HTML 本身是獨立于與其交互的媒體的���。HTML 可能會被渲染到屏幕,語音合成器����,或者在盲文顯示屏上。為了控制在不同的媒體上需要 HTML 被展示成什么樣子��,你需要樣式語言(如:CSS)��。
Sample styled page
Sample styled page
This page is just a demo.
HTML 安全
HTML 在樣式語言和腳本語言的作用下變得可以交互之后����,一堆安全問題也隨之出現(xiàn);Web 安全模型是基于源("origins")的概念���;許多 Web 攻擊都是和跨域相關(guān)。
XSS 攻擊和 SQL 注入攻擊��。
XSS 通過向 HTML 注入腳本或其他用戶代理能識別的信息來改變 HTML;如果這段注入能被保存的話�����,其他用戶會受到降維打擊��;
SQL注入 常常利用表單的提交將輸入信息提交到 Web 服務(wù)器后���,在將信息保存到數(shù)據(jù)庫時�����,由于代碼沒有過濾輸入可能會導(dǎo)致攻擊者修改數(shù)據(jù)庫中的信息����。
?
解決方法:過濾用戶輸入����,以及用戶信息的輸出。
CSRF 攻擊
由于 HTML 表單的提交可以發(fā)生在任意的站點上���,并且提交會附帶上對應(yīng)站點的 cookie����;因此當(dāng)用戶訪問某些惡意站點時,站點可以偷偷提交用戶訪問過的一些網(wǎng)站(如購物網(wǎng)站)的 HTML 表單���;使得用戶在無意識中受到降維打擊���。
?
解決方法:Web 服務(wù)器檢查提交的站點的 Origin 字段是否來自于收信任的站點,否則應(yīng)該拒絕���;由于攻擊方只是利用用戶代理在提交表單時會提交 cookie�����,本身并不知道 cookie 的值�,因此可以在表單里加上一段隱藏 token 來來驗證是否是本站點的提交�,隱藏 token 可以是 cookie 哈希后得到。
點擊劫持
惡意占地那利用一些信息誘導(dǎo)用戶點擊����,然后觸發(fā)一些用戶不希望看到的行為。
如:用戶進入一個網(wǎng)站�����,顯示一個游戲,有一個開始按鈕�����,當(dāng)用戶點擊后可能被誘導(dǎo)至購物網(wǎng)站��;或者將受害網(wǎng)站放在一個 iframe 里�,當(dāng)用戶點擊時���,迅速將 iframe 移動至鼠標下方�����。
解決辦法:可以判斷 top 和 window 是否相等來判斷站點是否處于 iframe 中���。
最后
荊軻刺秦王~
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/50996.html
