本文目录一览:
- 1、html5 localstorage 怎么取存储条数
- 2、html5 app开发用什么工具
- 3、学习html5需要会java或者是其他的计算机语言吗?
- 4、HTML5培训:HTML5应用程序的安全风险是什么?
html5 localstorage 怎么取存储条数
在HTML5本地存储出现以前,WEB数据存储的方法已经有很多,比如HTTP Cookie,IE userData,Flash Cookie,Google Gears。其实再说细点,浏览WEB的历史记录也算是本地存储的一种方式。到目前为止,HTML5本地存储方式已经获得了广泛的支持,其中支持的浏览器包括:IE 8+、FF 3.5+、Safari 4+、Chrome 4+、Opera 10.5+,手机平台包括iPhone 2+和Android 2+。最新的HTML5本地存储规范文档,可以在线查看
HTML5本地存储的前身就是Cookie,通过使用localStorage对象将WEB数据持久留存在本地。相比较而言,HTML5本地存储中每个域的存储大小默认是5M,比起Cookie的4K要大的多。而且存储和读取数据的代码极为简练:
那么现在我们是否可以简单的认为,HTML5存储已经可以代替Cookie存储了呢?还有这种新的存储方式在实际应用中带来了哪些新的安全风险呢?带着这些疑问我们来进行下面的讨论。
(1) 是否可以代替Cookie
浏览器使用Cookie进行身份验证已经好多年,既然现在localStorage存储空间那么大,是否可以把身份验证的数据直接移植过来呢?目前来看,把身份验证数据使用localStorage进行存储还不太成熟。我们知道,通常可以使用XSS漏洞来获取到Cookie,然后用这个Cookie进行身份验证登录。后来为了防止通过XSS获取Cookie数据,浏览器支持了使用HTTPONLY来保护Cookie不被XSS攻击获取到。而目前localStorage存储没有对XSS攻击有任何抵御机制,一旦出现XSS漏洞,那么存储在localStorage里的数据就极易被获取到。
如果一个网站存在XSS漏洞,那么攻击者注入如下代码,就可以获取使用localStorage存储在本地的所有信息。
攻击者也可以简单的使用localStorage.removeItem(key)和localStorage.clear()对存储数据进行清空。
(2) 不要存储敏感信息
从(1)中知道,从远程攻击角度来看,localStorage存储的数据容易被XSS攻击获取,所以不宜把身份验证信息或敏感信息用localStorage存储。而从本地攻击角度来看, localStorage自身的存储方式和存储时效并不宜存储敏感信息。
五大浏览器现在都已经支持以localStorage方式进行存储,其中Chrome,Opera,Safari这三款浏览器中都有了查看本地存储的功能模块。但是不同浏览器对localStorage存储方式还是略有不同的。以下是五大浏览器localStorage存储方式:
通过上面的描述可以看出,除了Opera浏览器采用BASE64加密外(BASE64也是可以轻松解密的),其他浏览器均采用明文存储数据。
另一方面,在数据存储的时效上,localStorage并不会像Cookie那样可以设置数据存活的时限,只要用户不主动删除,localStorage存储的数据将会永久存在。
根据以上对存储方式和存储时效的分析,建议不要使用localStorage方式存储敏感信息,那怕这些信息进行过加密。
(3) 严格过滤输入输出
对于本地存储,为了方便加载数据,常常会把数据存储在本地,等再次加载时,直接从本地读取数据显示在网页上。在某些情况下,在localStorage存储中写入或读取数据的时候,如果数据没有经过输入输出严格过滤,那么这些数据极可能被作为HTML代码进行解析,从而产生XSS攻击。
Twitter就发生过localStorage XSS漏洞。此漏洞触发的条件是,在Twitter的个人主页上执行以下存储代码后,每次再打开个人主页时就会弹出/xss/框。
从这段代码可以看出,Twitter会使用localStorage方法把一些个人数据存储到本地,每次加载个人主页面的时候就会从本地存储获取数据,然后由于Twitter忽略了对去除数据的严格过滤,导致存储的代码会被当作HMTL编码执行,进而发生跨站攻击。
有关Twitter localStorage XSS 漏洞详的细信息可以查看: wooyun-2010-03075。虽然Twitter这个漏洞利用起来非常困难,但它再一次告诉我们:本着一切输入输出都是有害的原则,要对数据进行严格的输入输出过滤。
(4) 容易遭受跨目录攻击
localStroage存储方式不会像Cookie存储一样可以指定域中的路径,在localStroage存储方式中没有域路径的概念。也就是说,如果同一个域下的任意路径存在XSS漏洞,整个域下存储的数据在知道存储名称的情况下都可以被获取到。
假设下面两个链接是使用localStorage来存储数据:
用户xisigr和xhack各自的blog链接虽然属于同一个域,但却有不同的路径,一个路径为xisigr,另一个路径为xhack。假设xisigr用户发现自己的路径下存在存储型XSS漏洞,那么就可以在自己的blog中加入获取数据代码,其中核心代码为localStorage.getItem(“name”)。xhack用户并不需要登录blog,他只要访问,本地存储数据就会被获取到。
(5) 容易遭受DNS欺骗攻击
Google在没有使用HTML5本地存储前,是使用Google Gears方式来进行本地存储的。那时Google Gears就遭到过DNS欺骗攻击。Google Gears支持离线存储,可以把Gmail,WordPresss这样的网站数据以SQLite数据库的形式存储下来,以后用户就可以对存储的网站数据进行离线读取或删除操作。如果攻击者发动DNS欺骗攻击,那么就可以注入本地数据库,获取数据或者留下永久的后门,造成对用户持久的危害。Google Gears所遭受的DNS欺骗攻击方式在HTML5本地存储上也是同样有效的。
(6) 恶意代码栖息的温床
在第六点中给出“恶意代码栖息的温床”这个小标题有些夸大的效果。其实这里想说的是,HTML5本地存储在空间上和时间上都将成为今后存储的趋势,料想“恶意代码们”自然会大雁南飞转移栖息到这张温床上。
那么,何为HTML5本地存储的空间和时间呢?空间这里指的是存储空间,比起Cookie 4K空间的微小来说,HTML5的localStroage方法默认就可以使浏览器存储5M空间可以说是博大,而Safari浏览器可以支持到500M更加让HTML5存储霸气外露。时间上,随着HTML5技术日渐成熟,除了各大浏览器厂商争先在自己的产品中支持HTML5外,一些大应用软件厂商也对其信赖有加。比如2011年11月Adobe宣布放弃手机上的FLASH, 而由HTML5全面取而代之。随着时间的推移,HTML5大步流星的前行速度也会越来越快,也会使得用到HTML5本地存储的应用会越来越多。
上面从理论上分析了 “恶意代码栖息的温床”的可能性。而从实际技术上的可行性也非常简单。下面是在本地留后门的核心代码:
以上分析,均出自天融信TopLAB前沿安全实验室的研究,希望借此文让HTML5的本地存储安全问题得到大家的广泛重视。HTML5非常精彩,但也存在风险,我们要做的工作还很多。
html5 app开发用什么工具
1、Adobe Edge
Adobe Edge的目的是帮助专业设计师制作网页动画乃至简单游戏。该工具的重点放在动画引擎上,但adobe承诺将增加更多HTML5功能,比如Canvas、HTML5音频/视频标签等。支持Android、iOS、webOS、黑莓PlayBook、Firefox、Chrome、Safari和IE9等各个平台。
2、Adobe Dreamweaver
Adobe Dreamweaver使用所见即所得的接口,亦有HTML(标准通用标记语言下的一个应用)编辑的功能,借助经过简化的智能编码引擎,轻松地创建、编码和管理动态网站。 [2] 访问代码提示,即可快速了解 HTML、CSS 和其他Web 标准。 [2] 使用视觉辅助功能减少错误并提高网站开发速度。
3、HBuilder
HBuilder是DCloud(数字天堂)推出的一款支持HTML5的Web开发IDE。HBuilder的编写用到了Java、C、Web和Ruby。HBuilder本身主体是由Java编写。它基于Eclipse,所以顺其自然地兼容了Eclipse的插件。
4、WebStorm
WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源,继承了IntelliJ IDEA强大的JS部分的功能。
参考资料:百度百科——Adobe Edge
百度百科——Adobe Dreamweaver
百度百科——HBuilder
百度百科——WebStorm
学习html5需要会java或者是其他的计算机语言吗?
1、学习html5不需要会java,但是需要编程基础,比如各种JS/JQuery等。
2、学习html5最重要的不是已经会多少东西,而是你的不断学习的学习能力。要明白,技术是时刻在更新的。
学习HTML5可以参考下列进阶知识:
一、前段页面重构
1、PC端网站布局(HTML基础,CSS基础,CSS核心属性;CSS样式层叠,继承,盒模型;浏览器兼容性与宽高自适应;定位、锚点、图片整合;表格,CSS属性与滤镜。)
2、HTML5+CSS3基础(HTML5新增的元素与属性;CSS3选择器、媒体查询;CSS3位移与变形处理;CSS3 2D、3D转换与过度动画;响应式设计。)
3、WebApp页面布局(移动端页面设计规范;移动端切图;文字流式/控件弹性/图片等比例/特殊设计的100%布局;等比缩放布局;viewport/meta、rem/vw的使用;移动web特别样式处理)
二、JavaScript高级程序设计
1、原生JavaScript交互功能(基本语法、循环语句、函数与数组、String与Date、BOM与DOM、事件、拖拽效果、cookie存储、正则表达式、Ajax、面向对象基础、运动与游戏开发)
2、面向对象进阶与ES5/ES6应用(Promise/A+、设计模式(观察者模式等)、原型链、构造函数、执行上下文栈与执行上下文、变量对象与活动对象、作用域链、闭包、this、ES5、ES6)
3、JavaScript工具库(DOM库、事件库、AJAX库、原型和继承库、MVVM核心库、基于SPA的路由库)
三、PC端全栈项目
1、jQuery经典交互特效(时间轴特效、tab页面切换效果、网页定位导航特效、滑动门特效、焦点图轮播特效、导航条菜单效果、瀑布流特效、弹出层效果、倒计时效果、抽奖效果)
2、PHP+MySQL后端基础(PHP、MySQL、HTTP(s)协议详解、Ajax进阶、跨域与Defered、Apache与Nginx 环境搭建与配置、接口的定义、Mock数据、Restful、前后端联调、前端安全XSS,CSRF,JSON注入)
3、前端工程化与模块化应用(Gulp、Webpack、NPM、Git/SVN、CommonJS、AMD、CMD、ES6模块化)
四、移动端WebApp开发
1、应用Vue.js开发WebApp项目
2、应用React.js开发WebApp项目
3、应用Angular开发WebApp项目
五、混合(Hybrid,RN)开发
1、微信公众号开发
2、微信小程序开发
3、React Native
六、NodeJS基础、MongoDB、GraphGL、Express、Koa、socket 即时通信
……
HTML5培训:HTML5应用程序的安全风险是什么?
运用HTML5构建的应用程序与任何根据web的应用程序相同,开发商应采取恰当的网络侵犯安全措施,以保护任何存储的数据和通讯安全。想学习HTML5构建应用程序的更多知识和技术,无妨报名参加HTML5训练学习,能在短时间内学到有用的东西,比自学更快速,更有用。
HTML 5移动应用程序面临的挟制有哪些?
1.来自恶意代码的挟制
HTML 5应用程序最有或许通过开发人员差错添加安全风险。例如,通过蓝牙、Wi-Fi或短信自动履行恶意代码。
此恶意代码可以捕获灵敏信息,并将受害者的移动设备露出给侵犯者。更糟糕的是,恶意代码或许会传达并导致应用程序履行差错任务,它的安全弱点正成为一个更大的问题。
通过运用不正确的API,应用程序易受侵犯。除了开发者差错,恶意代码可以通过图画和音乐文件(作为元数据)、QR码、蓝牙传输和通过WiFi传输的SSID字段注入应用程序。应用程序显示的短信也或许包含恶意代码。通过参加HTML5训练学习,你可以学到更系统更全面的知识,不明白的问题也能及时问教师得到解决,大大提高学习功率。
2.中间件是一个主要问题
HTML5应用程序一般需求一个跨途径的中间件结构。此中间件是JavaScript可以用其本机语言调用操作系统的方法之一。该中间件简单遭到恶意代码注入侵犯,称为XSS(跨站点脚本),因为中间件一起承受数据和代码并自动履行后者。
因为咱们颁发应用程序拜访联系人列表、位置数据和摄像头号权限,移动设备上的风险更大。
不仅仅是根据HTML5的应用程序会让用户面临安全问题,还有一个普遍影响应用程序的问题,那就是许多应用程序存在许多风险的做法,并且大多数都与用户隐私相关。
因为收集的数据类型不同,“应用内购买”特别风险。它一般收集灵敏信息,如你的电子邮件地址、电话号码、地址以及或许的银行详细信息。这些信息可以与广告网络和/或分析公司等第三方同享,并承担被乱用的风险。
HTML 5在很大程度上是跨途径的。跨途径应用程序是移动应用程序开发的成果之一,但绝不能在安全问题和用户体会上退让。实现这一点的一种方法是将关键放在应用程序、其云途径特定功用和远程身份验证服务之间的集成上,并将它们与适用于web开发的安全最佳实践相结合。想了解更多关于HTML5应用程序的知识和技术,可以参加HTML5训练班学习,专业讲师,规范课程,封闭式学习,让学习更有用,更科学。