华 晨 ，施化吉

（江苏大学 江 苏 镇 江 2 12013）

HTML5是继HTML4.01,XHTML 1.0和DOM 2 HTML后的又一个重要版本，旨在消除Internet程序对 Flash，Silverlight，JavaFX一类浏览器插件的依赖。除了原先的DOM接口，HTML5增加了更多API，如：本地音频视频播放；硬件加速；本地运行(即使在 Internet连接中断之后)；从桌面拖放文件到浏览器上传；语义化标记。随着万维网联盟于2008年1月第1份HT ML5草案的发布,HTML5开启了WEB应用的新时代,各大著名IT公司相继推出了支持新的网页格式的IT产品。HT ML5与之前的版本相比,最为显著的特点是为开发者提供了一个不再依靠插件和扩展的完整应用平台。现在使用HT ML5规范的各种WEB应用方兴未艾,势不可挡。它展现出来的许多新特性在改变WEB世界同时也对网络安全带来了许多新挑战[1-2]。

1 HTML5新标签

HTML5在废除了一些旧标签的同时也增加了一些新标签来增强网页的表现性能。但这同时也给攻击者带来了新的机会。

一些xss filter如果建立了一个黑名单的话，则可能不会覆盖到HTML5新增的标签和功能，从而发生XSS。

例如

[3]

这段远程加载视频的代码成功的绕过了XSS Filter。

我们对此攻击的防御方式是，对前端或者后端的XSS Filter进行优化，添加过滤规则或者黑名单。