HTML5新特性安全研究综述

Journal of Computer Research and Development

DOI：10. 7544/issnl000-1239. 2016. 20160686

53(10) : 2163-2172, 2016

HTML5新特性安全研究综述

张玉清1;2贾岩

1雷柯楠1吕少卿3乐洪舟1

U综合业务网理论及关键技术国家重点实验室（西安电子科技大学）西安710071)2 (中国科学院大学国家计算机网络入侵防范中心北京101408)

3 (陕西省信息通信网络及安全重点实验室（西安邮电大学）西安710121)(zhangyq@nipc.org.cn)

Survey of HTML5 New Features Security

Zhang Yuqing1，2，Jia Yan1，Lei Kenan1，Lii Shaoqing3，and Yue Hongzhou1

1 {State Key Laboratory of Integrated Services Networks (Xidian University ) ? XVan 710071)

2 (National Computer Netxvork Intrusion Protection Center, University of Chinese Academy of Sciences, Beijing 101408)

3 {Shaanxi Key Laboratory of Information Communication Network and Security (Xi’an University of Posts and

Telecommunications')，Xi^n 710121)

Abstract

HTML5 is the latest standard of building Web applications. It introduces many new features to browsers, but also brings new security issues. The security of new features is the essence of HTML5 security. According to the differences in function, we analyze and summarize the security of new features including new label and form，communication, offline and storage，multimedia， performance，device access. The security problems and possible prevention methods are pointed out.

Then we summarize existing researches, and classify HTML5 security problems into three categories：

extending traditional threats, malicious use and improper use，to provide a new thought for the further study of HTML5 security. At last, four directions of the future work are pointed out： the security of new features, detection of malicious use, cross platform security and new security applications.

Key words Web security； HTML5 ； literature review； postMessage； WebSocket； AppCache； WebStorage

摘

HTML5是构建Web应用的最新标准，它引入许多新特性来赋予浏览器丰富的功能，但因此也 引入了新的安全问题.HTML5安全问题实际由各个新特性的安全问题组成.根据功能差异，对 HTML5中的标签与表单、通信功能、离线应用与存储、多媒体、性能与表现、设备访问等新特性的安全

要

性进行了详尽的分析、总结和讨论，指出其蕴含的安全问题及可能的防范方法.然后对现有国内外研究 工作进行了总结，进一步将HTML5安全问题归纳为3类：传统威胁延伸、恶意利用、使用不当，为进一 步研究提供了思路.最后，指出了 HTML5安全研究未来有价值的4个方向：新特性安全性、恶意利用 检测、跨平台安全性和新安全应用形式.

收稿日期：2016-08-18;修回日期：2016-09-20

基金项目：国家自然科学基金项目（61272481,61572460);国家信息安全专项[(2012) 1424];国家重点研发计划项目（2016YFB0800703);

国家111项目（B16037);教育部-中国移动科研基金项目（MCM20130431)

This work was supported by the National Natural Science Foundation of China (61272481,61572460) , the National Information Security Special Projects of National Development and Reform Commission of China [(2012)1424] , the National Key Research and Development Project (2016YFB0800703) , China 111 Project (B16037), and the Research Fund of Ministry of Education-China Mobile (MCM20130431).

21计算机研究与发展2016, 53(10)

关键词

Web 安全；HTML5 ;综述；postMessage; WebSocket; AppCache; WebStorage

TP393.08

中图法分类号

随着互联网的飞速发展，Web已经融人生活的 方方面面，我们几乎每天都会使用Web处理各种事 务，如银行业务、网上购物、浏览新闻、电子邮件、社 交网络等等.为推动Web的标准化及满足应用日益 丰富的要求，2007年万维网联盟W3C(World Wide

1)传统的安全问题会以新的形式在使用了 HTML5 技术的应用中出现，如HTML5新标签带来了更多 的XSS攻击向量；2)HTML5许多新API赋予了

Web强大的功能，这同时提供给攻击者许多新的攻

击方式；3)由于开发者对HTML5新的特性不够熟

悉，使用时难免会考虑不周，导致应用存在被攻击者 Web Consortium)立项 HTML5，并于 2〇14 年 10 月

完成标准化工作[1].它包含了一系列的HTML语 义标签JavaScript API、CSS3等新特性•目前，无论

是电脑还是智能终端，互联网的主要浏览器都对新 标准提供了良好的支持[2].

HTML5标准由众多的新特性组成，根据功能 的不同，可以分为标签与表单、通信API、离线应用

与存储、多媒体、性能与表现、设备访问6类，如表1 所示.其中，新标签与表单引人了语义信息和丰富的 交互事件与属性，使客户端更加灵活；通信API提 供了浏览器与服务器、浏览器与浏览器、浏览器标签 之间新的通信方式，满足多种应用场景下的开发需 求；多媒体特性使得浏览器原生支持多种图形、视 频、音频，无需额外安装插件；性能与表现特性则使 性能显著优化，并提供给UI多种友好的表现形式； 设备访问特性使得浏览器能够充分的利用多种平台 的不同硬件，构建出丰富的应用.

Table 1

Summary of HTML5 New Features

表

1

HTML5新

特性分类一览

TypeFeaturesTag and Formarticle,

video»

email， formaction.,

pattern., sandbox, autofocus, etc.Communication.WebSocket, postMessage, XHR2Offline Application.

AppCache, IndexedDB, WebStorageMultimediaWebRTC，SVG，canvasPerformance

WebWorkers，

SSE，

Drag/Drop,

history, Notification.

Device Access

Geolocation., Camera，getUserMedia» Battery» etc.

虽然HTML5提供了丰富的应用形式，但同时也 带来了许多新的安全问题，传统的Web安全问题如

XSS、CSRF、设备指纹识别、UI欺骗等在HTML5环

境下有了新的发展，同时，XMLHttpRequest2、Web- Storage、postMessage等新API还引人了新的跨源、

本地存储、标签通信风险.主要原因归纳有如下3点：

利用的漏洞.总的来说，正是由于HTML5引人了 许多新的特性，所以才产生了诸多新的安全问题，

现今Web的广泛应用使得其安全性至关重要， 而HTML5作为新的Web标准，其安全问题直接关 系着整个Web平台的安全.所以，安全界已经对

HTML5安全开展了广泛的研究•首先，2010年

Kuppan[3]在黑帽大会上公布了通过HTML5技术 进行攻击的系列方法，包括新标签跨站点脚本（cross­site scripting ， XSS) 、 COR 反 向代理 、点 击劫持 、应 用程序缓存中毒、客户端RFI、网络扫描、构建僵尸

网络等，并同时给出了概念验证程序.这是安全界最 早分析HTML5安全问题的系统性报告.在2012 年欧洲黑帽大会上，Shah[4]再次补充了通过HTML5 技术进行攻击的10种攻击手段，包括CORS、UI欺 骗以及HTML5带来的新XSS攻击载荷等.国际著 名Web安全组织OWASP针对HTML5安全，专 门成立工作组并维护了在线HTML5安全手册[5]， 对开发者具有非常高的参考价值.在国内，吴翰清[6] 的著作《白帽子讲Web安全》中较早地对HTML5 安全进行了探讨;2013年，孙松柏等人[7]对HTML5 安全做了概括性论述，并对国内许多知名站点进行 了安全测试，发现HTML5安全问题严重影响当前 国内Web安全.

除对HTML5的综合安全研究外，学术界自 2010年后对HTML5的各个特性也进行了深人的 研究，发现了 XSS、信息泄露、用户追踪等多方面的 安全隐患，并提出相应方案来加强HTML5的安全性.

HTML5安全问题实际由各个新特性的安全问

题组成，故本文试图围绕着引人的各类新特性，对

HTML5安全展开讨论•

1 HTML5新特性安全分析

本节按照新特性功能的不同，分类讨论各个新 特性的安全研究现状.由于跨站点脚本的普遍性，并

张玉清等：HTML5新特性安全研究综述2165

且其经常能够作为其他攻击的先决条件，故单独列 出讨论.另外为保证研究的完整性，在最后补充了

2010年，Hanna等人[12]发现了新型浏览器在 部署postMessage技术时客户端通信协议层面出现 的安全问题.2013年，Son等人[13]发现了许多实际 中origin源验证存在的漏洞，由此攻击者可以注人 脚本、任意修改本地存储，如www. ieee. org等知名 的站点均存在该问题，表明开发者在使用新的API 时非常容易出现问题.因此，李潇宇等人[14]同年提 出了一种跨文档消息传递方案SafePM来帮助开发

者安全使用9〇3丨]\\46333邑6.

HTML5其他的相关安全问题.

1.1

标签与表单

HTML5规范了 HTML解析器，定义了许多新 的内容，如新的结构标签、音视频标签、MathML

等，并丰富了原有表单、内嵌窗口的属性.

这些新内容除带来跨站点脚本威胁外，还会引 人其他的风险.iframe的sandbox属性可以设置是 否允许内嵌窗口执行脚本，从而使攻击者进行UI 欺骗时绕过FrameBusting检查.HTML5对表单功 能的加强也引人了许多新的风险，如autocomplete 属性提供自动完成的功能，使浏览器根据表单ID将 输人信息保存在本地，方便用户的同时违背了同源 策略，产生泄露表单中隐私的风险[8] ; pattern属性 提供客户端的正则表达式过滤，但开发者仍需在服 务端对输人进行验证，疏忽会导致严重的安全风险；

formaction属性可以覆盖form的action属性，攻击

者若能对表单注人该属性，即可操纵表单提交的地 址，并且由于不是脚本注人，所以无法受到CSP的 保护，甚至不受注人位置的[9]. Preibusch等人[1°] 针对Web表单中的许多特性进行了安全性研究.另 外，一些标签属性的使用还能够对客户端造成拒绝 月艮务，如〈input ow6ZMr=/\"ocj«〇 HTML5新标签的丰富性导致其带来的安全问

题也是多种多样的，它既提供给攻击者手段绕过现 有防御措施，也使开发者在使用时易带来新的漏洞， 如与原有防御机制相冲突、信息泄露、表单注人、拒 绝服务等问题.目前，对新标签的安全性问题通常难 以有系统性的分析，研究以打补丁的形式进行，未来 仍需研究各个新标签潜在的安全风险，如在不同终 端不同浏览器上的不同实现形式.

1.2通信功能

1. 2. 1 postMessage API

出于安全方面的考虑，运行在同一浏览器中的 框架、标签页、窗口间的通信一直都受到了严格的 ，然而，现实中存在一些合理的需求让不同站点 的内容能在浏览器内进行交互.HTML5为跨文档 消息机制提供了 postMessage API，用来实现跨框 架、标签页、窗口通信.其通过响应事件来接收消息， 通过检查消息的来源来决定是否对这条消息进行 处理.

1. 2. 2 WebSocket API

HTML5引人了 WebSocket来增力n异步通信

和跨源通信的支持，使得开发者能更便捷地构建实 时应用.但同时，该功能的引人也为攻击者提供了构 造各种恶意代码的可能.2010年Kuppan[3]详细讲 解了使用Web-Socket扫描的技术细节，并发布了 一个概念验证工具“JS-Recon”，该工具可以通过受 害主机浏览器对内网进行扫描.2012年，Schema等 人[15]分析了 WebSocket 在 MITM、DoS、IDS、

Fingerprinting、Fuzzing、使用不当等多方面的安全

问题• 2013 年，Kulshrestha[16]回顾了 WebSocket 的 协议和API，并讨论了不同浏览器面对混合内容和

不可靠证书时存在的安全问题.1. 2. 3 XMLHttpRequest2(XHR2)

XMLHttpRequest API使得Ajax技术的实现 成为了可能，作为其改进版本，XHR2主要增加了跨

源和进度事件2方面的功能.其跨源支持使得CSRF 成为可能，通过将XHR2对象的setRequestHeader 设置为 Content-type, multi-part/form-data，将属性

WithCredentials设置为true,就能够对cookie进行 重放，从而实现攻击[4’7’17].同WebSocket类似，利 用状态响应时间的不同，XHR2也能够用来进行网

络扫描[3].

目前，各界对 postMessage API 和 WebSocket 的安全问题已经进行了较为丰富的研究，并且实际 中也已经有了较为广泛的应用.其中，对postMessage 的研究主要包含了浏览器实现漏洞和开发者安全 应用2个方面.对WebSocket安全的研究既包括了 主要的通信功能，也包括了在其他安全问题下的表 现和新恶意利用方式.XHR2是对原有XHR的升 级改动，研究集中于其跨源新特性所带来的新风险. 通信API常常涉及到客户端与服务端2方面的通 信，研究服务端实现方面的安全问题可作为未来方 向之一 •

2166计算机研究与发展2016, 53(10)

1.3离线应用与存储

恶意脚本至DNS-IP映射信息过期可以绕过反DNS

1. 3. 1 本地存储API

WebStorage是HTML新增的本地存储解决 方案之一，意图在于解决本来不应该cookie做，却 不得不用cookie的本地存储.相比于cookie, WebStorage减少了通信的流量，也降低了被监听的 风险.WebStorage使用简单字符串键值对在本地存

储数据，方便灵活，但是对于大量结构化数据存储力 不从心.IndexedDB能够在客户端存储大量的结构 化数据，并且使用索引高效检索，在2015年1月8日 Rebinding机制，从而破坏浏览器的同源策略.2015

年，Jia等人[26]研究了应用程序缓存中毒对HTTPS 的影响，即使用HTTPS也难以保证安全.除此之

外，由于实现时缺少安全性的考虑，它还赋予攻击者 窃取用户隐私信息的能力.同年，Lee等人[27]发现 了利用应用程序缓存的事件机制来判断跨源资源状 态的方法，从而推断出用户的Web访问习惯与认证 状态.

目前，本地存储API的安全性吸引了众多研究 正式被W3C推荐，而Web SQL Database实际上已 经被废弃.

本地存储在方便开发者在客户端存储数据的同 时，也会遭到同cookie类似的攻击，如XSS和

CSRF等.除此之外，其还有一些其他的安全风险.

如浏览器在早期实现WebStorage时存在缺陷，不

站点的存储容量，攻击者可以借此耗尽浏览器 的存储空间™ • Kimak等人™研究了 IndexedDB 数据如何存储在客户端本地文件系统，并叙述了如 何在应用程序删除了客户端数据库后仍然可以获取 到数据及解决方案.Matsmnoto等人[2°]发现，从浏 览器的主内存映像（main memory image)中可以取 得WebStomge的值信息.Acar等人™在研究中发 现，IndexedDB可以被用来作为用户追踪的新手段.

研究者还提出了对本地存储安全性的改进方案 与安全应用场景.2014年Jemel等人[22]针对本地 存储API提出了一种安全加强方案，即浏览器为每 个用户分别提供安全的存储空间.然后又从云计算 应用的角度，提出了加强本地存储数据安全的方法 和不同设备同步本地存储数据的方案[23]. Kimak等 人[24]对IndexedDB的发展历程进行回顾，针对已有 的安全问题提出了新的安全模型.1.3.2应用程序缓存

在全球互联的时代，人们越来越依赖网络连接， 但事实上，网络连接中断时有发生，为此HTML5 引人了应用程序缓存（application cache, AppCache). 使用应用程序缓存，避免了加载应用程序时的常规 网络请求，如果缓存清单文件是最新的，浏览器就无 需检查其他资源是否最新.这可以节省带宽，加快访 问速度，并减轻服务器负载.

新缓存机制的引人同时带来了新的缓存中毒攻 击.Kuppan™首先提出利用应用程序缓存作为缓存 中毒攻击的新方式，比HTTP缓存中毒攻击更加持 久• 2〇13年Johns等人[25]发现使用AppCache缓存

者的目光，包括其客户端实现的缺陷、客户端存储数 据的机密性、不同应用场景的隐私风险等.另外，研 究者对于其安全性改进与安全应用场景也提出了各 种不同的方案.应用程序缓存使缓存中毒攻击方式 有了新的表现形式，长时间的缓存也给已有的安全 机制产生冲突，其实现上的不周也为窃取敏感信息 提供了新的手段.出于安全性的考虑，正在制定的用 于离线应用的Service Workers仅允许在HTTPS 连接中使用[28].

1.4多媒体

Web的功能已经逐渐从浏览简单的网页发展

成为可以处理复杂媒体的应用平台.但是，以前浏览 器对多媒体的支持往往是通过各种插件来实现，如 著名的Flash插件.现在，HTML5推出了一系列标 签和；JavaScript API，使浏览器原生支持多媒体功能.

网络实时通信（Web real time communication,

WebRTC)主要用来让浏览器实时获取和交换视频、

音频等数据• getUserMedia ( ) API还允许通过 JavaScript脚本分享用户的屏幕，Tian等人[29]发现 使用屏幕共享API可以在用户无察觉的情况下窃

取用户屏幕上的信息和浏览历史记录，并绕过站点 的防御进行CSRF攻击.

可缩放矢量图形（scalable vector graphics, SVG) 使用XML格式定义图像，曾经没有得到浏览器很 好的支持，但由于HTML5的到来，现可以用传统的 标签嵌人页面中.随着其应用的普及，研究人员发现 了许多潜在的安全风险.2011年，Heiderich等人[3°] 发现使用〈img〉标签和CSS嵌人的SVG图像可以 注人并执行任意；JavaScript代码，称之为All攻击， 并提出相应的防范措施.31〇116[31]在2013年黑帽大 会上提出，使用SVG filter来进行计时攻击（timing

attack)可以获取历史浏览记录的方法.2012年， Heiderich等人[32]指出，攻击者使用SVG的〈set〉标 签和accessKey事件，可以记录用户在浏览器中输

张玉清等：HTML5新特性安全研究综述2167

人的内容，而不必使用脚本.

〈canvas〉标签定义图形，使用脚本来绘制图形，

自身功能的滥用，即攻击者可以使用这些特性的原 有功能来利用客户端的资源或者进行社会工程学攻 击等.但是，对于恶意利用的检测与防范研究较少， 并且对该类新特性的实现安全性与其他恶意利用方 式还没有发现，这些可作为未来研究方向的重点.

1.6设备访问

与SVG以及VML之间的一个重要不同是，〈canvas〉 有一个基于JavaScript的绘图API，而SVG和

VML使用一个XML文档来描述绘图• Mowery等 人[33]提出使用〈canvas〉绘图作为系统指纹识别的 手段，因为绘图功能直接关系到显卡驱动和GPU，

通过检查产生的像素，会发现不同的系统产生不同 的输出.这种用户跟踪的手段于其他方法，并且 HTML5支持用户通过Geolocation API获取

地理位置信息，极大地丰富了 Web应用形式，但不 恰当的实现会导致隐私泄露的风险.2010年Doty等 易于使用和对用户透明.因为HTML5给予了浏览 器更多访问硬件的能力，所以Web现在可以基于硬 件来进行设备指纹识别，而这些硬件特征更难被掩 饰和更改[34].

目前，多媒体类API除了提供XSS新的攻击向 量外，其中一些事件特性还可被攻击者恶意利用来 窃取击键记录和浏览器记录等私密信息.由于其与 硬件设备密切相关的特性，还被挖掘出许多进行设 备指纹识别的手段，威胁用户的隐私.除浏览器的事 件、编程接口支持外，多媒体类API的实现还需要 多方面的支持，如图形绘制、解码库等，其中底层支 持的安全性也可作为未来研究方向之一.

1.5性能与表现

HTML5在Web性能方面进行了优化，Web

Workers使JavaScript现在可以后台多线程执行.

但同时攻击者可以使用该特性充分利用用户的浏览 器隐蔽地构建僵尸网络，进行DDoS、挖掘比特币、 进行暴力破解等[3].

除了性能方面的改进，HTML5也定义了新的

API，使开发者可以更方便高效地丰富Web表现形

式•比如，服务器发送事件（server-sent event, SSE)允 许网页获得来自服务器的推送更新；History API 允许Web页面操作浏览器的历史记录；拖拽API 支持用户在浏览器中拖拽元素；Web Notification API可以向用户随时进行桌面消息推送，不局限于 当前页面.Yoon等人[11]提出，可以使用SSE作为 命令通信方式的僵尸网络，并且比Web Workers构

建的僵尸网络更难被检测.同时，表现形式的丰富也 增加了社会工程学攻击的能力.History API使攻 击者可以加量的URL历史记录，使用户使用 浏览器“后退”按钮无法回退；而修改当前显示的

URL增加了钓鱼攻击的迷惑性[35]. Web Notification

可以被攻击者用来推送欺骗消息，拖拽API丰富了 UI欺骗攻击的形式.

目前对性能与表现新特性的安全研究集中于其

人[36]关注了 Geolocation API的隐私机制，并提出了 一■种隐私框架•同年，Zalewski[37]发现Geolocation

用户提示可以通过对用户界面进行时差攻击进行

UI欺骗，从而窃取地理位置信息.2014年，Kim等 人[38]深人研究了当前浏览器对Geolocation API的

实现，发现14种存在缺陷的漏洞和603个过高权限 的站点，并提出了细粒度的权限控制和位置模型，以 及对Geolocation发展的一些建议.这些研究均增强 了对用户隐私性的保护.

HTML5也提供了许多对移动设备访问的支 持，如照相机、触摸事件等.Yoon等人提出了使

用震动API对移动设备拒绝服务的攻击，这种攻击 会对用户使用造成不良影响，迫使用户关闭该页面.

Olejnik等人[39]发现FireFox实现的显示电池状态

API时精确度过高，可以被用来进行设备指纹识别.

目前对于HTML5设备访问的研究主要集中

于用户隐私的攻防，还有移动设备的特殊硬件产生 安全隐私隐患.研究包含了新的恶意利用方式及

API功能实现时的缺陷，但是缺少结合客户端平台，

对API功能实现机理安全性的深人研究.

1.7其他方面

1. 7. 1 XSS新挑战

XSS是Web上最流行的攻击之一，通过该漏洞

攻击者可以向客户端浏览器注人任意可执行脚本.

HTML5引人了许多能够触发JavaScript脚本执行 的新标签和新属性，如 audio、video、onerror、autofocus 等;除标签与表单外，SVG和CSS3也增加了攻击向 量的种类，若网站黑名单过滤没有包含HTML5新 特性，那么就会产生XSS漏洞.HTML5安全站 点[4°]维护了一个较为全面的XSS攻击向量备忘 录；Dong等人[41]总结了 14种由HTML5引人的 XSS攻击向量，并针对电子邮件系统开发了相应漏 洞检测工具.而且，HTML5新特性极大地增强了客

户端脚本的能力，增强了攻击危害性.

2168计算机研究与发展2016, 53(10)

HTML5良好的跨平台特性，导致XSS有了新 的“用武之地除了传统上针对浏览器的XSS攻 击，2014年，Jin等人[42]发现移动终端HTML5 App 同样也存在XSS漏洞，并拥有Contact，SMS， Barcode，MP3等独特的注人途径.次年，Chen等人[43] 又发现了针对移动终端HTML5 App，通过text box input type 和 document. getElementById(‘‘TagID”）. value注人脚本的新方式.2016年，Mao等人[44]提 出了通过监控App的运行，建立行为状态机来检测 HTML5 App注人行为的方法.

总之，传统的XSS防范方法足以应对新的威 胁，但是需要特别提防HTML5新引人的注人通道

及其跨平台的影响，移动端目前已经发现了较多的 安全隐患.1.7.2补充工作

一部分研究并不局限讨论HTML5某个特性 的安全问题，但其主体是信息安全相关问题，并与

HTML5密切相关，所以特在此节简要说明，以保证

研究的完整性.

其中有些研究侧重于HTML5的应用.文献[45- 46]讨论了使用HTML5特性来加强会话的方案. 文献[47]提出了可以使用HTML5的WebRTC来 进行数据P2P安全传输的方案.文献[48]使用Web

Crypto API实现了端对端加密的社交网络.

有些研究侧重于整体安全性与安全检测.文 献[49]采用基于行为分析的方法研究了新特性的恶 意使用.文献[7,50]设计并实现了可以检测HTML5 安全问题的漏洞扫描器.文献[51]提出了一种针对

HTML5应用的权限分离方案.

HTML5应用在移动端的实现也暴露出了新的 问题，文献[52]以Android和PhoneGap为例，研究 了移动端操作系统支持HTML5应用时的访问控 制问题.HTML5新特性的出现也影响了旧有的安 全问题，如文献[53]提出了 3种基于HTML5新特 性的混淆技术，使Web drive-by-download恶意代

码避开现有的安全检测系统.

2现有工作总结

目前安全界已经对HTML5安全投人了许多

的研究精力，已发表的文献主要有2种类型.第1类 是针对单个特性进行深人研究，如发现了一类新的 恶意利用手段、API本身实现缺陷、实际中使用时产 生的漏洞等，大部分文献属于此类.通过统计对各新 特性研究的篇文献，得到图1所示的比例分布图.

Fig. 1 Literatures distribution of new features security.

图1

新特性安全研究文献分布比例图

其中，通信API和离线应用与存储得到了较多 研究者的关注.这一方面是由于其特性本身的复杂 性，如通信API的跨源特性、协议、事件机制，本地 存储客户端的实现，应用程序缓存的持久特性和事 件机制均引人了新的安全风险；一方面由于其应用 的广泛性，如postMessage的众多实际应用中对源 验证存在漏洞.多媒体类特性也较为复杂，涉及到脚 本接口和与硬件密切相关的特性，同样产生了较多 的安全问题.性能表现与设备访问类特性由于其本身 特点，研究主要集中于基于社会工程学的隐私泄露. 标签与表单常常引人新的注人攻击，攻击思路较为固 定，防范方法较为成熟，已经得到了业界较多的关注.

第2类文献概括多点HTML5安全问题，包括 总体安全分析、安全使用的建议和对以往问题的总 结、安全测试等.如对HTML5整体进行安全性分 析的部分文献中，文献[7]通过对国内外研究工作的 总结分析，将HTML5安全问题分为3类：HTML5 安全漏洞、HTML5新型攻击机制、HTML5新特性 滥用.文献[11]根据攻击产生的危害，将安全问题分 为数据泄露、信息控制、请求伪造、拒绝服务、社会工 程学5类，注重攻击的表现形式，将安全问题划人现 有的攻击类型.上面的分类均不是站在漏洞产生原 因的角度进行分析.

经过调研分析，为提供进一步漏洞挖掘的思路， 从漏洞产生原因的角度，可以将HTML5安全的问 题归为3类.1)传统威胁延伸，即传统的Web攻击 思路延伸到HTML5应用之中，对原有防御机制带 来了挑战或产生了新的表现形式；如新标签引人的

XSS对黑名单过滤产生了挑战，移动端HTML5

App发现的XSS等.该类问题重点关注新攻击与传

统攻击实施思路上的相似性.2)新功能的恶意利用， 即新特性在提供开发便利的同时，也给攻击者提供 了新的攻击手段，其可以是对功能的正常使用，如利

张玉清等：HTML5新特性安全研究综述2169

用Web Workers构建僵尸网络；也可以是主要功能 之外的其他手段，类似密码破解中的边信道，如使用

按照上述分类方法，各个新特性存在的安全问 题汇总如表2所示，供安全研究人员参考.表2中直 接给出了关键短语描述，空格表示目前没有发现此 类安全问题，具体内容可参考上文对各类特性的详 细讨论.注意，HTML5使得XSS攻击更具威胁性， 并且XSS是很多攻击的前提条件，故统计时不再重 复考虑，通常对新标签的攻击向量使用传统方法加 以完善即可防范.另外，其中有些漏洞已经随着标准 化进程修复.

WebSocket进行网络扫描是利用响应时间的侧信

道.该类问题重点关注新特性本身带来的风险.3)使 用新特性不当产生漏洞，即开发者在使用新特性时， 由于对新功能不够熟悉，疏忽大意导致编程存在安 全漏洞；如使用CORS时缺少对源的校验和数据验 证等.该类问题产生的原因在于开发者使用不当，而 非新特性本身.

Table 2 Summary of HTML5 Security Issues

表

2 HTML5安全问题分类总结

Malicious Use

DoS

Improper Usepattern.»autocomplete

origin, check

network scan,DoS

CSRFXSS

network scan.user track

info leakage

TypesTag and Form

FeaturesExtending Traditional Threatsnew XSS»form injection.^sandbox

postMessage

Communication.

WebSocketXHR2Storage

Offline

AppCacheDNS-rebindingWebRTC

Multimedia

SVGCanvasWeb Workers

SSE

Performance

History APINotification.Drag APIGeolocation. API

Device Access

Vibration APIBattery API

device fingerprinting

UI phish

location, leakage»timing attack

phishinject XSS

cache poisoningstatus leak

info leakagetiming attack,key loggerdevice fingerprinting

botnetbotnetDoSphish

improper privilege

DoS

W3C正式推荐了 Web Storage第2版，继续推出的

3

未来研究展望

新特性在带来易用性和修补安全缺陷的同时，难免 还会带来新的安全风险，需要安全研究人员不断地 跟进研究.②仍有许多特性的安全性没有被详尽地 分析，已分析过的特性也无法避免会出现其他的恶 意利用方式，如通信API的服务端实现、多媒体

HTML5标准体系目前已经基本完成，其相关

安全研究也开展了多年，产生了一大批漏洞和科研 成果.未来的研究方向主要包含4：个方面：

1)新特性安全性分析

虽然安全研究伴随着HTML5整个标准化过 程，但是对于其新特性本身的研究却仍然不够深人 和全面，主要原因有2个方面：①尽管研究者已经对 许多新特性进行了研究，但是随着Web的快速发 展，不断有新的特性被提出，如2016年4月19日

API的底层支持等.

各个新特性的加人使浏览器成为越来越复杂的 应用载体，故对各个新特性潜在安全性的研究仍然 是未来研究的重点方向，包括并不局限于隐私保护、 与旧有安全手段冲突、新恶意利用方式、不同平台 实现差异等.本文提出的分类方法给发现新的安全

2170计算机研究与发展2016, 53(10)

问题提供了参考思路.

2) 新特性恶意利用检测

目前大部分研究局限于发现一个问题，解决一 个问题，部分研究关注现有漏洞的检测，均缺少对普 遍HTML5恶意利用的检测和防御方案.具体可以 考虑恶意行为建模分析、特征提取，机器学习等手 段，参考人侵检测系统的常用方法.

3) 跨平台安全性

[1] W3C. HTML5 [EB/0L]. [2016-03-19]. https://www.w3.

org/TR/html5/

[2] Leenheer N. How well does your browser support HTML5

//html5test. com[EB/OL]. (2016-06) [2016-08-08]. http；

[3] Kuppan L. Attacking with HTML5 [EB/OL]. Blackhat

2010. (2010-10-08) [2016-08-08]. https：//media. blackhat. com/bh-ad-l〇/Kuppan/Blackhat-AD-2 010-Kuppan-Attacking- 参考文献

W3C致力于统一各个平台的Web标准，以方 便开发出功能更加丰富的Web应用程序.然而不同

平台、不同终端对标准的实现却不尽相同，这就留下 了出现安全问题的隐患.移动互联网和物联网的蓬 勃发展使得HTML5应用日益广泛.Web已经不单 单是传统PC的应用，许多智能设备都在使用Web 技术M，物联万维网（Web of Things，W〇T)正被提 上议题[55].众多的智能终端无疑会存在更多的安全 风险，如设备访问API在不同硬件特性的平台上会 带来不同的隐患.目前，安卓平台HTML5 App已 经发现存在XSS攻击，其他类型的Web攻击也同 样可能影响各个平台.所以不同平台HTML5应用 的安全性研究也是未来的方向之一，如HTML5在 移动终端、Web TV等平台的安全、隐私保护、可达 性及恢复力等.

4) 新安全应用形式

HTML5是新一代的Web标准，浏览器对其进

行了充分的支持，对HTML5新的应用形式也在不 断探索之中.比如可以考虑利用HTML5来更加高 效地解决如盗链等传统问题，结合多因素构建Web

认证支付系统，设计浏览器加密通信系统，加强权限 控制会话安全.故利用HTML5技术结合具体应用 场景需求来构建安全应用也是未来的研究方向之一.

4结束语

Web技术已经深人人们日常生活的方方面面，

其中对HTML5安全性的研究具有重要的现实意 义.本文首先对国内外研究现状进行了总结，然后根 据功能的差异，讨论了 HTML5各类新特性的安全 问题.并将已有HTML5安全问题归纳为3类：传 统威胁延伸、新恶意利用方式、使用和实现时的漏 洞，为进一步发现新的安全问题提供了思路.最后， 讨论了值得进一步深人研究的安全问题，包括新特 性安全性、跨平台应用、新安全应用形式3个方向.

with-HTML5-wp. pdf

[4] Shah S. HTML5 Top 10 Threats Stealth Attacks and Silent

Exploits [EB/OL]. Blackhat 2012. [ 2016-08-08 ] http：//media, blackhat. com/bh-eu-12/shah/bh-eu-12-Shah_ HTML5 _ Top—10-WP. pdf

[5] OWASP. HTML5 Security Cheat Sheet [EB/OL]. [2016­

03-20] https ：//www. owasp. org/index. php/HTML5_ Security_ Cheat_Sheet

[6] Wu Hanqing. White Hat to Talk about Web Security [M].

Chinese Edition.. Beijing ： Publishing House of Electronics Industry, 2012 (in. Chinese)

(吴瀚清.白帽子讲Web安全[M].北京：电子工业出版社，

2012)

[7] Sun. Songbai» Ali Abbasi，Zhuge Jianwei» et al. Reseach on.

HTML5 security [J]. Computer Applications and Software,2013，30(3) ： 1-6 (in. Chinese)

(孙松柏，Ali Abbasi，渚葛建伟，等.HTML5安全研究[J].

计算机应用与软件，2013, 30(3): 1-6)

[8] andlabs. POC for Stealing Auto-Complete Suggestions from

Google Chrome [EB/OL].

[ 2016-08-08 ] http：//www.

andlabs. org/hacks/steal_autofill. html

[9] De Ryck P» Desmet L» Piessens F» et al. A security analysis

of emerging Web standard s-Extended version.» CW622[R/OL]. Belgium： Department of Computer Science, KU Leuven, 2012 [ 2016-08-08 ]. https：//lirias. kuleuven. be/ bitstream/1234567/349398/l/CW622. pdf

[10] Preibusch S» Krol K» Beresford A R. The privacy economics

of voluntary over-disclosure in. Web forms [G] //The Economics of Information. Security and Privacy. Berlin.： Springer, 2013； 183-209

[11] YoonS，Jung J H，Kim H K. Attacks on. Web browsers

with HTML5 [C] //Proc of the 10th lilt Conf for Internet Technology and Secured Trans (ICITST). Piscataway，NJ ： IEEE， 2015: 193-197

[12] Hamia S，Chul E，Shin R，et al. The Emperor's new APIs：

On. the (In.)secure usage of new client-side primitives [C/OL] //Proc of W2SP’10. Piscataway，NJ: IEEE，2010 [2016-06­15]. http：//www. ieee-security. org/TC/W2SP/2010/papers/ p03. pdf

[13] Son. S，Shmatikov V. The postman, always rings twice：

Attacking and defending postMessage in. HTML5 Websites[C] //Proc of NDSS'13. Rosten, VA, USA； Internet Society，2013 : 1-14

张玉清等：HTML5新特性安全研究综述2171

[14] Li Xiaoyu» Zhang Yuqing» Liu Qixu» et al. Secure cross

document messaging scheme based on. HTML5 [J]. Journal of Graduate University of Chinese Academy of Sciences»2013，30(1) ： 124-130 (in. Chinese)(李潇宇，张玉清，刘奇旭，等.124-130)

[15] Schema M，Shekyan. S，Toukharian. V. Hacking with

WebSockets [EB/OL]. [2016-08-08] BlackHat USA 2012. http：//www. hakim. ws/BHUSA12/materials/Briefings/Shekyan./ 一种基于HTML5的安全跨

[26] Jia Y» Chen. Y» Dong X» et al. Man.-in.-the-browser-cache：

Persisting HTTPS attacks via browser cache poisoning [J]. Computers &- Security, 2015，55: 62-80

[27] Lee S，Kim H，Kim J. Identifying cross-origin, resource

status using application, cache [C/OL] //Proc of NDSS'15. San Diego，CA： Internet Society，2015 [ 2016-06-15 ]. http：//www. internetsociety. org/sites/default/files/〇l _ 1 _2. pdf

[28] W3C. Service Workers W3C Working Draft 25 June 2015

[EB/OL]. [2016-07-27]. https：//www. w3. org/TR/service- 文档消息传递方案[J].中国科学院大学学报，2013, 30(1):

BH_ US_ 12 _ Shekyan. _ Toukharian. _ Hacking _ Websocket_ Slides, pdf

[16] Kulshrestha A. An. empirical study of HTML5 Websockets

and their cross browser behavior for mixed content and untrusted certificates [J]. International Journal of Computer Applications，2013，82(6): 13-18

[17] Wang Xiaoqiang. Research of Csrf Attack and Defense

Techniques Based on. HTML5 [D]. Chengdu： University of Electronic Science and Technology of China， 2013 (in Chinese)

(王晓强.基于HTML5的CSRF攻击与防御技术研究[D].

成都：电子科技大学，2013)

[18] Feross A. Introducing the HTML5 Hard Disk Filler™ API

[EB/OL]. [2016-04-04]. http：//feross. org/fill-disk/[19] Kimak S，Ellman. J , Laing C. Some potential issues with the

security of HTML5 indexedDB [C] //Proc of System Safety and Cyber Security. Piscataway，NJ：

IEEE，2014: 495-502[20] Matsumoto S» Sakurai K. Acquisition, of evidence of Web

storage in. HTML5 Web browsers from memory image [C] // Proc of the 9th Asia Joint Coni on. Information. Security. Piscataway，NJ ： IEEE，2014 : 148-155

[21] Acar G, Eubank C, Englehardt S, et al. The Web never

forgets ： Persistent tracking mechanisms in. the wild [C] // Proc of ACM Coni on. Computer and Communications Security. New York； ACM, 2014； 674-6

[22] Jemel M, Serhrouchni A. Security enhancement of HTML5

Local Data Storage [C] //Proc of 2014 In.t Coni and Workshop on. the Network of the Future ( NOF ). Piscataway, NJ： IEEE, 2015. Doi： 10. 1109/NOF. 2014. 7119784

[23] Jemel M，Serhrouchni A. Content protection, and secure

synchronization, of HTML5 local storage data [C] //Proc of the 11th Consumer Communications and Networking Coni (CCNC). Piscataway，NJ: IEEE，2014: 539-540

[24] Kimak S，Ellman. J. The role of HTML5 IndexedDB, the

past，present and future [C] //Proc of the 10th In.t Conf for Internet Technology and Secured Trans. Piscataway，NJ ： IEEE, 2015： 379-383

[25] Johns M, Lekies S，Stock B； Eradicating DNS rebinding

with the extended same-origin, policy [C] //Proc of the 22nd Usenix Conf on. Security. Berkeley» CA： Usenix, 2013： 621— 636

workers/

[29] Tian Y，Liu Y C，Bhosale A，et al. All your screens are

belong to us： Attacks exploiting the HTML5 screen, sharing API [C] //Proc of the 2014 IEEE Symp on. Security and Privacy. Piscataway，NJ ： IEEE，2014: 34-48

[30] Heiderich M, Frosch T» Jensen. M, et al. Crouching tiger-

hidden. payload： Security risks of scalable vectors graphics [C] //Proc of the 18th ACM Conf on Computer and Communications Security. New York： ACM，2011: 239-250[31] Stone P. Pixel perfect timing attacks with HTML5[EB/OL].

Blackhat，2013. [2016-03-20]. http://media.blackhat.com/us_ 13/US-13-Stone-Pixel-P erfect-Timing-Attacks-with-HTML5- WP. pdf

[32] Heiderich M, Niemietz M, Schuster F» et al. Scriptless

attacks： Stealing more pie without touching the sill [C] // Proc of the ACM Conf on. Computer and Communications Security. New York： ACM, 2012： 760-771

[33] Mowery K» Shacham H. Pixel perfect： Fingerprinting canvas

in HTML5 [C/OL] //Proc of W2SP12. Piscataway，NJ: IEEE, 2012 [2016-06-15]. http；//www. ieee-security. org/ TC/W2SP/2012/papers/w2spl2-final4. pdf

[34] Nakibly G, Shelef G, Yudilevich S. Hardware fingerprinting

using HTML5 [DB/OL]. ArXiv e-prints, 2015. [2016-08­08]. http：//xueshu. baidu. com/s? wd = paperuri% 3A% 280758be07676e75354f70444de749a4e6% 29&filter = sc_ long_ sign.&-tn.= SE_ xueshusource_ 2kduw22v&-sc_ vurl = http% 3A%2F% 2Farxiv. org% 2Fabs% 2F1503. 01408&ie= utf- 8&sc_us= 183865093366793230

[35] TrandLabs. HTML5 Overview [EB/OL]. [ 2016-04-16 ].

http ： //www. trendmicro. com/cloud-con.ten.t/us/pdfs/security- intelligence/ reports/rpt_html5-attack-scenarios. pdf

[36] Doty N, Mulligan. D K, Wilde E. Privacy issues of the W3C

Geolocation. API [DB/OL]. ArXiv e-prints, 2010. [2016-08­08]. http：//xueshu. baidu. com/s? wd = paperuri% 3A% 286143a2a92f4fbaa43397ca8e34d3bf0b%29&-filter= sc_long_ sign.&-tn.= SE_ xueshusource_ 2kduw22v&-sc_ vurl = http% 3A% 2F% 2Farxiv. org% 2Fabs% 2F1003. 1775&ie = utf- 8&sc_us= 9799738829075159532

[37] Zalewski M. Geolocation. spoofing and other UI woes

[EB/OL]. (2010-08-17) [2016-03-20]. http；//seclists. org/ bugtraq/2010/Aug/201

2172

[38]

Kim H, Lee S，Kim J. Exploring and mitigating privacy threats of HTML5 geolocation API [C] //Proc of the 30th Annual Computer Security Applications Conf (ACSAC,14). New York： ACM, 2014： 306-315

[39]

Diaz C, Olejnik L, Acar G, et al. The leaking battery： A privacy analysis of the HTML5 Battery Status API [J]. 616IACR Cryptology ePrint Archive, 2015：

[40]

cure53. HTML5 Security Cheatsheet [EB/OL]. [2016-04­04]. http://html5sec.org/

[41]

Dong G, Zhang Y, Wang X，et al. Detecting cross site scripting vulnerabilities introduced by HTML5 [C] //Proc of [54] [53] [51]

计算机研究与发展2016, 53(10)

Akhawe D, Saxena P，Song D. Privilege separation in HTML5 applications [C] //Proc of the 21st USENIX Conf on. Security Symp. Berkeley, CA： USENIX, 2012： 23-23

[52] Jin X, Wang L, Luo T, et al. Fine-grained access control for

HTML5-based mobile applications in Android [G] //LNCS 7807. Berlin： Springer, 2015： 309-318

Santis A D, Maio G D, Petrillo U F. Using HTML5 to prevent detection of drive-by-download Web malware [J]. Security 1255

Dujlovic I, Duric Z. Cross-platform Web based real-time Communication. Networks» 2015，8(7)： 1237-

the 11th Int Joint Conf on Computer Science and Software Engineering (JCSSE). Piscataway, NJ ： IEEE, 2014； 319­323

[42] Jin X, Hu X，Ying K，et al. Code injection attacks on

HTML5-based mobile Apps： Characterization, detection, and mitigation [C] //Proc of the ACM Conf on Computer and Communications Security. New York： ACM, 2014； 66-77

[43]

Chen. Y L, Lee H M, Jeng A B. DroidCIA： A novel detection, method of code injection, attacks on. HTML5-based mobile Apps [C] //Proc of the 2015 IEEE Trnstcom/ BigDataSE/ISPA. Piscataway, NJ: IEEE, 2015: 1014-1021

[44]

Mao Jian, Wang Ruilong, Chen Yue, et al. Detecting injected behaviors in HTML5-based Android applications [J]. Journal of High Speed Networks, 2016, 22(1)： 15-34

[45]

Kumar V. Three Tier Verification Technique to foil session sidejacking attempts [C] //Proc of Asian Himalayas Int Conf on Internet. Piscataway, NJ： IEEE, 2011： 1-4

[46]

Unger T, Mulazzani M, Hwirt D, et al. SHPF： Enhancing HTTP(S) session security with browser fingerprinting [C] // Proc of the 2013 Int Conf on. Availability, Reliability and Security. Piscataway，NJ: IEEE, 2013：

255-261[47]

Farina J, Scanlon M, Kohlmann. S, et al. HTML5 zero configuration, covert channels： Security risks and challenges [C] //Proc of the 10th ADFSL Conf on Digital Forensics. Security and Law (ADFSL 2015). Florida： ADFSL, 2015： 135-150

[48]

Bar eng hi A，Beretta M，Federico A D，et al. Snake： An end-t〇-end encrypted online social network [C] //Proc of IEEE Int Conf on High PERFORMANCE Computing and Communications. Piscataway, NJ： IEEE, 2014： 763-770

[49]

Choo H L，Oh S，Jung J，et al. The Behavior-Based Analysis Techniques for HTML5 Malicious Features [C] // Proc of the Innovative Mobile and Internet Services in Ubiquitous Computing (IMIS). Piscataway, NJ： IEEE, 2015： 436-440

[50]

Wu Q, Liu X. Research and design on. Web application vulnerability scanning service [C] //Proc of the 5 th IEEE In.t Conf on. Software Engineering and Service Science (ICSESS). Piscataway, NJ： IEEE, 2014： 671-674

communication in. Web TV and video on. demand systems [C] //Proc of the 57th Int Symp ELMAR. Piscataway，NJ： IEEE, 2015： 65-68

[55] W3C. Web of Things at Industry of Things World [EB/OL]. (2016-03-08 ) [2016-04-23 ]. https：//www. w3. org/blog/ 2016/03/w3c-web-〇f-things-at-industry-〇f-things-world/

Zhang Yuqing, born in 1966. PhD.

Professor in the University of Chinese Academy of Sciences. His research

interests include network and information

system security.

Jia Yan, born in 1992. PhD candidate in

Xidian University. His research interests include network and system security.

Lei Kenan, born in 1992. Master candidate

in Xidian University. Her main research interests include network and information security.

Lu Shaoqing, born in 1987. PhD and

assistant professor. His main research interests include social networks security and data mining.

Yue Hongzhou, born in 1987. PhD

candidate in Xidian University, accepting joint training in National Computer Network Intrusion Protection Center， University of Chinese

Academy

of

Sciences. His main research interests include network and information security.