应用安全专家表示，HTML5给开发者带来了新的安全挑战。苹果和Adobe的口水战带来了很多关于HTML 5命运的猜测。虽然HTML5的实现还有很长的路要走，但是可以肯定的是，使用HTML 5的开发人员将需要为应用安全开发生命周期部署新的安全功能，以应对HTML 5带来的安全挑战。

那么HTML5会如何影响我们需要覆盖的攻击面呢？本文将讨论HTML 5的几个重要安全问题。

客户端存储

牛仔布集团应用安全研究部主任丹康奈尔(Dan Cornell)表示，早期版本的HTML只允许网站将cookies存储为本地信息，但这些空间相对较小，只适合存储简单的归档信息或存储在其他位置的数据标识符(如会话标识)。但是，HTML5 LocalStorage允许浏览器在本地存储大量数据库，从而允许使用新类型的应用程序。

康奈尔说：“随之而来的风险是，敏感数据可能存储在本地用户工作站中，物理访问或破坏工作站的攻击者很容易获得敏感数据。”。"这对使用共享计算机的用户来说更加危险."

Rapid7的安全研究员乔希亚伯拉罕说：“根据定义，它只能在客户端系统中存储信息。“那么您就有可能基于客户SQL注入进行攻击，或者您的一个客户的数据库是恶意的。与生产系统同步时，可能会出现同步问题，或者客户端的潜在恶意数据会被插入到生产系统中。”

为了解决这个问题，开发人员需要能够验证数据是否是恶意的，这实际上是一个非常复杂的问题。

不是每个人都同意这个问题的重要性。Veracode首席技术官克里斯怀索帕尔(Chris Wysopal)表示，例如，网络应用程序有许多方法可以通过使用插件或浏览器来扩展存储数据的客户端。

Wysopal说：“有许多已知的方法来操作当前部署的HTML5会话存储属性，但是这个问题要到标准最终确定后才能解决。”

跨域通信

虽然其他版本的HTML可能直接允许JavaScript发送XML HTTP请求，并将其回调到原始服务器，但HTML5放宽了这一限制，可以将XML HTTP请求发送到任何允许此类请求的服务器。当然，如果服务器不可信，也会带来严重的安全问题。

康奈尔说：“例如，我可以构建一个混搭(它使用公共或私有数据库将两个以上的网络应用程序结合起来，形成一个集成的应用程序)，并通过JSON(Javascript Object Notification)获取第三方网站的竞争分数。”“此网站可能会向我的用户浏览器的运行应用程序发送恶意数据。虽然HTML5允许建立新类型的应用程序，但是如果开发者在开始使用这些功能的时候，并不理解他们所构建的应用程序的安全意义，那么就会给用户带来很大的安全风险。”

Wysopal补充说，对于依赖PostMessage()编写应用程序的开发人员来说，他们必须仔细检查以确保信息来自他们自己的网站，否则来自其他网站的恶意代码可能会创建恶意信息。这个功能本身并不安全，开发人员已经开始使用不同的DOM(Document Object Model)/浏览器功能来模拟跨域通信。

另一个相关的问题是，万维网联盟目前提供了一种绕过同源策略的方法，即使用相似的跨域机制进行跨源资源共享设计。

“IE部署的安全特性不同于Firefox、Chrome和Safari，”他指出。“开发人员需要确保他们创建过于宽松的访问控制列表，尤其是因为一些参考代码目前非常不安全。

Iframe安全性

从安全角度来看，HTML5也有不错的特性，比如计划支持iframe的沙盒属性。

“这个属性将允许开发者选择如何解释数据，”Wysopal说。“不幸的是，像大多数HTML一样，这种设计很可能被开发人员误解，也可能因为不方便使用而被开发人员禁用。如果处理得当，此功能将有助于抵御恶意第三方广告或防止不可信内容重播。”