本节书摘来自华章计算机《Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术》一书中的第1章,第1.6节,作者:(美) 希马(Shema, M.)著, 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1.6 杂七杂八
因为很多标准都不完整或未实现,因此很难确定具体的安全缺陷。本节将介绍一些不会在本书其他章节中出现的规范。
1.6.1 History API
History API(http://www.w3.org/TR/html5/history.html)为浏览上下文提供了管理会话状态的方法。它像是由链接组成的栈,用来向前或向后导航。它的安全性依赖于同源策略。对象使用起来很简单,例如,下面的代码示范了将新的链接推送到对象。
当浏览器的实现不正确时,对History对象的安全性和隐私性的考虑会发挥作用。如果没能正确执行同源策略,那么History对象可能会被JavaScript滥用,该JavaScript在某个域中加载,但是增加了连接到其他的域的链接。例如,假定一个受损的浏览器加载了一个来自http://web.site/的页面,然后围绕指向其他域的History对象创建了社会工程攻击。
另外,该恶意网站可能会试图从另一个域的History对象来枚举链接,这将会引起隐私泄露。History API的设计防止了这一点,但是也不保证错误不会发生。
1.6.2 API草案
W3C(http://www.w3.org/)维护大量Web相关的规范,这些规范的完成状态各不相同。规范的范围从本章所讨论的HTML5到为HTML游戏使用Gamepad,描述共享信息的微格式,再到移动浏览、协议、安全等。
读取邮件列表和参与讨论是了解浏览器开发人员和网络开发人员下一步工作的好方法。通过这样做,你可以发现潜在的安全问题、理解新特性如何对隐私产生影响,时刻跟踪最新趋势。
