? ? ? HTML5對舊有的安全策略進行了非常多的補充。 ? ? ??**一、iframe沙箱** ? ? ??HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執行某些操作，例如訪問父頁面的DOM、執行腳本、訪問本地存儲或者本地數據庫等等。但是這個安全策略又會帶來另外的風險，這很有趣，例如[ClickJacking攻擊](http://blog.csdn.net/hfahe/article/details/8138728)里阻止JavaScript腳本的運行來繞過JavaScript的防御方式。 ? ? ??**二、CSP內容安全策略** ? ? ??XSS通過虛假內容和誘騙點擊來繞過同源策略。**?**XSS攻擊的核心是利用了瀏覽器無法區分腳本是被第三方注入的，還是真的是你應用程序的一部分。CSP定義了Content-Security-Policy HTTP頭來允許你創建一個可信來源的白名單，使得瀏覽器只執行和渲染來自這些來源的資源，而不是盲目信任服務器提供的所有內容。即使攻擊者可以找到漏洞來注入腳本，但是因為來源不包含在白名單里，因此將不會被執行。具體內容可以在[我的博客上](http://blog.csdn.net/hfahe/article/details/7727460)了解到。  XSS攻擊的原理 ? ? ??**三、XSS過濾器** ? ? ??Chrome、Safari這樣的現代瀏覽器也構建了安全防御措施，在前端提供了XSS過濾器。例如[http://test.jiangyujie.com/?text=</div><script>alert(1)</script](http://test.jiangyujie.com/?text=%3c/div%3e%3cscript%3ealert(1)%3c/script)>在Chrome中將無法得到執行，如下圖所示。  ? ? ??**四、其他** ? ? ??另外HTML5的應用程序訪問系統資源比Flash更受限制。 ? ? ??最后，關于HTML5專門的安全規范目前還在討論中，有的人希望分散到HTML5規范的各個章節，有的人希望單獨列出，目前沒有單獨的內容，因為不僅要考慮Web App開發者的安全，還要考慮實現HTML5支持的廠商，對它們進行規范和指導。 ? ? ??我個人認為HTML5的安全規范將會有一個統一的章節來進行闡述，并在各個功能模塊相應的提及。 ? ? ??結束語：從2012年9月9日開始，“HTML5安全攻防詳析”系列連載終于結束了。謝謝大家的支持，今后我將會介紹更多HTML5其他方面的內容。 ? ? ??相關文章： ? ? ??《[關注HTML5安全風險](http://blog.csdn.net/hfahe/article/details/7960705)》 ? ? ??《[HTML5安全風險詳析之一：CORS攻擊](http://blog.csdn.net/hfahe/article/details/7961566)》 ? ? ??《[HTML5安全風險詳析之二：WebStorage攻擊](http://blog.csdn.net/hfahe/article/details/7961618)》 ? ? ??《[HTML5安全風險詳析之三：WebSQL攻擊](http://blog.csdn.net/hfahe/article/details/8049414)》 ? ? ??《[HTML5安全風險詳析之四：Web Worker攻擊](http://blog.csdn.net/hfahe/article/details/8104263)》 ? ? ??《[HTML5安全風險詳析之五：劫持攻擊](http://blog.csdn.net/hfahe/article/details/8138728)》 ? ? ??《[HTML5安全風險詳析之六：API攻擊](http://blog.csdn.net/hfahe/article/details/8205148)》 ? ? ??《[HTML5安全風險詳析之七：新標簽攻擊](http://blog.csdn.net/hfahe/article/details/8441060)》 ? ? ??《[HTML5安全風險詳析之八：WebSocket攻擊](http://blog.csdn.net/hfahe/article/details/8507015)》 ? ? ??本文為原創文章，轉載請注明：來自[蔣宇捷的博客](http://blog.csdn.net/hfahe)（[http://blog.csdn.net/hfahe](http://blog.csdn.net/hfahe)）