HTML5核心安全问题有哪些？web前端开发人员必备知识(2)

对于依赖于PostMessage()来编写应用程序的开发人员而言，必须仔细检查以确保信息是来源于他们自己的网站，否则来自其他网站的恶意 代码可能会制造恶意信息，Wysopal补充说。这个功能本身并不是安全的，开发人员已经开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通 讯。

另一个相关问题是，万维网联盟目前为跨源资源共享设计提供了一种使用类似与跨域机制绕过同源政策的方法。

“IE部署的安全功能与Firefox、Chrome以及Safari都不相同，”他指出，“开发人员需要确保他们创建过于宽松访问控制列表的 危害，特别是因为某些参考代码目前非常不安全。

Iframe安全

从安全角度来看，HTML5也有不错的功能，例如计划支持iframe的沙盒属性。

“这个属性将允许开发者选择数据如何解译的方式，”Wysopal表示，“不幸的是，与大部分HTML一样，这个设计很可能被开发人员误解，很 可能因为不便于使用而被开发人员禁用。如果处理得当，这个功能将能够帮助抵御恶意第三方广告或者防止不可信任内容重放。”