? ? ? 在今天的2012中國軟件開發者大會上，我做了名為《關注HTML5安全》的主題演講。我個人認為，隨著HTML5的普及和發展，HTML5的安全會成為近期帶來的嚴重問題。之所以大家還沒有感受到的原因是什么？1、目前HTML5應用還不普及 2、暫時還沒有吸引攻擊者的關注。 ? ? ? 演講摘要如下（來自[CSDN專題](http://www.csdn.net/article/2012-09-11/2809819)）： ? ? ? ----------- ? ? ??我首先介紹了從HTML到HTML5的發展，在在91年當時誕生了HTML，當時只是一個簡單的純文本，并不存在安全方面的風險。而到了96年我們有了CSS和JS，由此誕生了XSS，也就是眾所周知的就是跨腳本攻擊，由此帶來了安全問題。到2000年的時候就有了HTML1，安全問題開始受到更多的關注，同時也有針對瀏覽器方面的攻擊。到了05年的時候Web的安全變得更加多樣化，到08年HTML5出現之后，Web安全問題又有了新的變化。  ? ? ??我曾經在《程序員》發表過一篇文章叫做HTML之美，當時提到了HTML是一個很美好的標準，我把HTML比喻成一朵玫瑰，因為它其實跟HTML5一樣，玫瑰也具有很美好的特點，比如說它很漂亮，同時它有非常香的氣味，但是它同時有一個非常不好的方面，就是會有尖銳的刺，我們就是要在享受它美好一面的同時，還要忍受它帶來不好的一面。因為web需要不斷地往前發展。雖然HTML5解決一些舊的風險，不過隨著帶來新的特性，也會幫助攻擊者去引入新的攻擊的方式。 ? ? ??我介紹了HTML5的四層架構，第一層是表現層，第二層是邏輯層，第三層是網絡層，第四層是核心層面，在表現層面有可能遇到的API的攻擊和新標簽的攻擊，在插件會引入CORJacking，在第三層會有Web Worker攻擊，Web Storage攻擊，在第四層有ClickJacking、CookieJacking。之所以大家還感覺不是特別明顯，因為第一目前HTML5的應用不是特別普及，目前攻擊者還沒有注意到這個，下面我詳細講訴了這些安全性的風險。 ? ? ??接下來我講到了HTML5安全規范問題，其實針對以上講的問題，我認為HTML5是應該有一個關于安全方面的規范，進而規定開發者應該怎樣更安全地、更好地去開發應用，還有規定瀏覽器廠商如何更好更安全地去開發瀏覽器。但是這個規定目前還沒有，因為正在討論中。有的人希望它獨立成為一個章節，也有人希望它分散到各章。我認為規章終究會出現，會作為一個獨立的形式出現在HTML5規范里，同時在每一章里的具體細節也會有所體現。 ? ? ??在演講中，我也闡述了HTML5帶來的機會，在HTML4時代有Antisamy，HTML purifier，目前HTML5在這一塊是一個空白，空白代表著一片藍海，針對這一片未來有可能形成一個新的產業，或者說會帶來新的機會。就像國外現在有一家公司正在做一件事情，面對基于Web的攻擊目前的防火墻很難進行禁止和防御，這家公司提供的新式防火墻，針對內容進行深入檢查，會對數據內容，格式，以及意圖，來分析哪些東西是安全的。我相信在國內隨著HTML5的發展，針對HTML5的安全也會帶來一些新的機遇。 ?? ??演講的最后，我分析了HTML5的未來，我認為HTML5的安全問題會在三個層面被引入，第一個層面是安全規范的層面，而HTML5是一個發展非常快速的規范，同時社區非常透明，而且響應及時。社區里面有擁有互聯網最好的公司，比如說Facebook、谷歌以及微軟的支持，所以在規范上會盡快地修復掉這些漏洞。第二個層面是瀏覽器實現，雖然瀏覽器不斷地更新換代，會不斷地解決這些安全性問題或者是漏洞，同時所有瀏覽器廠商都正在積極面對HTML5安全問題。第三個也就是今天要講的目的，就是在應用實現層面提醒開發者注意HTML5安全問題，因為HTML5是未來安全發展的趨勢，不能因為HTML5有這樣的安全問題，就因噎廢食，可以預見的是，基于HTML5應用未來會出現一個爆發式增長的趨勢。所以現在就要了解這些問題，最后我建議開發者要仔細地去了解所要采用的特性，同時對應用安全性做一個評估。 ? ? ? ----------- ? ? ? 下面是分享的PPT資料。在線閱讀和下載地址在[**這里**](http://pan.baidu.com/share/link?shareid=25886&uk=2802317001)。