来源:蜘蛛抓取(WebSpider)
时间:2017-12-26 15:08
标签:
轰炸机防御战
coc七本资源防御格子阵分享七本最强布局阵
下面要给大家分享的就是COC中七本资源防御格子阵了,这个阵型的特点就是不仅能很好的保护资源不被抢,同时也能保护好大本营不被推平。想要知道是一个什么样的阵型就跟随小编过来看看吧。
以上就是小编给大家分享的关于七本资源防御格子阵了,小编在这里祝大家玩的愉快。
/Article//314559.html 19游戏网整理报道编辑为您推荐的相关文章今天19游戏网小编为大家分享少年三国志高玩心得分享零党资源使用技巧,详细讲解《高玩心得分享零党资源使用技巧》攻略,希望这篇攻略能够帮助到大家!今天小编给玩家们带来的是零党资源巧用少年三国志高玩心得分享,首先我们来说说日常《合金装备5:幻痛》中建造升级基地需要大量资源,各类资源怎么得?下面为大家带来玩家分享的各类资源收集方法,一起来看看吧。方法1:小材料箱收集,游戏过程中在场景里有很多手提式的材料箱可以收集,一个100,虽然有点杯水车薪不《伤害世界Hurtworld》中一些新手玩家初期搞不懂地图,不知道各个资源在哪个区域,这里带来玩家制作分享的大地图一览,想要找寻资源的玩家们可以进行参考。以下内容由作者路过的一只阳丶制作这是完整版beta1.0精简版以上下面要给大家分享的就是COC八本资源守护神阵了,这些阵型的特点就是资源内容,使用多层防御护资源。感兴趣的小伙伴们就赶快过来看看吧。以上就是小编给大家分享的八本资源守护神阵了,小编在这里祝大家玩的愉快。下面要给大家分享的就是COC的五本天安门资源守护神阵了,看到五星红旗迎风挂在家门口谁敢打。网友的爱国之心日月可鉴,苍天可表,当然小编话说多了,那么一起来欣赏天安门阵吧。以上就是小编给大家分享的关于五本天安门资源守护神阵了
相关新手卡热门文章一周热门文章网络游戏排行榜当前位置:&>&&>&&>&
网评:中国在朝核问题上应把防止战争作为现阶段的首要目标
一、朝鲜半岛当前局势迫使中国在&防止战争&和&朝鲜弃核&这两个目标中做出抉择
&实现朝鲜半岛无核化&和&防止朝鲜半岛生战生乱&是中国在朝核问题上的两个基本目标,中国也一直在为实现这两个目标而积极努力。但是,近来朝鲜半岛局势的发展,却迫使中国将不得不在&防止战争&和&朝鲜弃核&这两个目标中做出抉择。
目前,朝鲜半岛局势日趋紧张,朝鲜与美国之间的紧张对抗日益加剧,犹如针尖对麦芒,谁也不肯相让。对于中国提出的&双暂停&倡议,美朝双方谁也不听。
其实,从今年9月2日朝鲜进行第六次核试验之后的70多天里,朝鲜既没有进行核试验,也没有发射弹道导弹,而美国在此期间却针对朝鲜干了两件事:一是11月20日美国总统特朗普宣布将朝鲜重新列入美国的&支持恐怖主义国家&名单;二是11月24日驻韩美国空军第七航空军司令部宣布,美韩两国空军将于12月4日至8日举行代号为&警戒王牌&的年度大规模联合空中演习。在此情况下,朝鲜看到美国根本就不理睬中国的&双暂停&倡议,于是在11月29日又发射了一枚洲际导弹。可以说,是美国彻底灭杀了&双暂停&的希望。
现在看来,中国要想达到&既能使朝鲜弃核又能避免朝鲜半岛发生战争&的目标已经十分困难了。摆在中国面前可行的选择只能是&两选一&:要么把防止战争作为现阶段的首要目标,要么把朝鲜弃核作为现阶段的首要目标。对此,中国必须当机立断,作出抉择。
二、中国在现阶段应把防止战争作为首要目标
所谓&把防止战争作为现阶段首要目标&,就是现阶段在处理朝鲜半岛核问题时,把防止和避免朝鲜半岛发生战争作为第一位的和最重要的目标,当其它目标与这个目标不能同时兼得或者有矛盾时,宁肯舍弃其它目标,也要保证这个目标的实现。
为什么要把防止战争作为现阶段的首要目标呢?主要有四个方面的理由:
1、可以避免朝鲜半岛发生战争对中国的不利影响
现在,朝鲜半岛局势就像个火药桶,但点火的钥匙掌握在美国手里。目前,朝鲜的态度是不想打但也不怕与美国打,而美国的态度是想对朝鲜动武但又不太敢打,所以,只要美国不主动诉诸战争行动,朝鲜半岛就打不起来。
然而,一旦美国对朝鲜动武,不管是针对朝鲜核导武器和领导人的外科手术式打击,还是对朝鲜进行海上封锁,都会遭到朝鲜的坚决反击。所以,一打起来,战争就不可控制,就很有可能升级为朝鲜半岛的全面战争。即使中俄保持中立,战火也可能烧到日本、关岛等驻有美国军事基地的地区。特别是如果美国不能在战争一开始就彻底摧毁朝鲜的核导武器,就有可能引发核战争。而由于朝鲜多为山地且构筑了大量的坑(地)道工事,美国想在战争一开始就彻底摧毁朝鲜的核导武器,几乎是不可能的。因此,朝鲜半岛一旦爆发战争,后果将不堪设想。
如果朝鲜半岛爆发战争,将对中国造成很大的不利影响:
一是将逼迫中国选边。美朝开战后,如果中国和俄罗斯保持中立,战争的结局很可能是韩国统一朝鲜半岛,其后果将是一个亲美国家与中国直接接壤,美军抵近中国边境,不仅这种战略态势极有利于美国而极不利于中国,而且由于韩朝与中国在历史和领土问题上存在分歧和争议,韩国统一朝鲜半岛后,这些问题都会浮出水面。这些后果,都不是中国愿意看到的。
如果中国支援朝鲜,又势必会与美国发生正面冲突,而中国也不想现在就与美国发生正面冲突。其中的缘由大家都知道。
如果中国支持美国打朝鲜,也势必会把朝鲜变成自己的敌人,朝鲜被逼急了,往中国的东北或北京扔几颗原子弹,其后果大家想想可知。所以,中国也不想把朝鲜变成自己的敌人。
由此可见,一旦美朝开战,中国无论是援朝还是助美,还是保持中立,其结果都是中国不想看到的。所以,只有朝鲜半岛不发生战争,对中国最为有利。
二是战火会殃及中国。俗话说:&城门失火,殃及池鱼。&由于朝鲜与中国是一衣带水的近邻,朝鲜半岛一旦发生战争,中国无论是援朝还是助美,还是保持中立,战火都会殃及中国。你援朝抗美,美国会打你;你助美侵朝,朝鲜会打你;就是保持中立,也难免炸弹会落到中国人头上,特别是大批的战争难民涌进来,将会造成严重的后果。
三是会严重影响中国的经济建设。朝鲜半岛一旦发生战争,国家和有关部门、有关地区的领导就不得不把很大一部分精力用在应对朝鲜战争上;无论是战备还是直接参战,无论是战争动员还是救助安置战争难民,都要动用大量的人财物资源,都会影响正常的生产和工作秩序。
总之,如果朝鲜半岛爆发战争,对中国将是百害而无一利;然而,只要朝鲜半岛不发生战争,上述的对中国的不利影响都可以避免。
2、中国民众普遍不希望朝鲜半岛发生战争
由于朝鲜是中国的近邻,朝鲜半岛一旦发生战争必然殃及中国,因此,除了极少数亲美分子乐见美国打朝鲜外,绝大多数的中国民众都不希望朝鲜半岛发生战争。因此,国家在决策时必须顺应民意。
3、防止战争的目标比较易于达成
目前看来,朝鲜已拥有可供实战使用的核武器及其运载工具,在这种情况下,想逼迫朝鲜弃核已几无可能。美韩等国试图&以压促变&,通过不断加大军事、政治压力和强化经济封锁来促使朝鲜国内发生变化甚至是现政权垮台,这种企图很难达成。因为朝鲜虽然经济比较落后,各方面也有不少缺陷,但朝鲜没有贫富两极分化和社会严重撕裂等情况,加之内部控制较紧,美韩等国企图在朝鲜引发&颜色革命&完全是痴心梦想。所以,除了从军事上打垮朝鲜,想通过其它途径迫使朝鲜弃核已几无可能。
而与促使朝鲜弃核相比,防止战争的目标则比较易于达成。因为在参加朝鲜半岛核问题&六方会谈&的六个国家中,现在是朝鲜和韩国不想打,中国和俄罗斯坚决反对打,日本也怕打起来殃及自己,只有美国一家想打但也不太敢真打。至于国际社会,则普遍不希望朝鲜半岛发生战争,主张用和平方式解决朝鲜半岛核问题。所以,只要中国态度坚决,积极做好各有关方面的工作,防止战争的目标是完全能够实现的。
4、从长远来看朝鲜半岛无核化还是有机会实现的
虽然目前使&朝鲜弃核&这个目标很难达成,但从长远来看,朝鲜半岛无核化还是有机会实现的。如果将来美韩对朝鲜的军事威胁解除了,世界上负责任的国家都带头削减和放弃核武器,朝鲜也一定会加入核裁军的进程。如果到那时朝鲜还不愿意弃核,全世界都不会答应,老天也会灭了他。
总之,&两利相衡取其大,两害相较取其轻&,对中国来说,&防止战争&与&朝鲜弃核&这两者相比,&防止战争&的好处要远远大于&朝鲜弃核&,&防止战争&的弊端也要远远小于&朝鲜弃核&,因此,在这两个目标无法同时实现的情况下,中国在现阶段应把&防止战争&作为首要目标。
网站QQ:违法及不良信息举报电话:185-
还不是会员?扫一扫下载手机客户端
扫描我,关注团购信息,享更多优惠
||网络安全
| | | | | | | | | | | | | | | |
||电子电工
汽车交通| | | | | | | | | |
||投资理财
| | | | | | | | | | | | | | | | |
| | | | | | |
| | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
||外语考试
| | | | | | | | |
| 视频教程|
Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术[按需印刷]
国际知名网络安全专家亲笔撰写,全面揭示Web应用常见安全漏洞及应对策略,Amazon广受好评。
定价:¥69.00
POD价:¥128.00
促销活动:
?如此书原封面缺失,印刷将采用出版社授权的新封面;
?如电子文件出现问题,可能延长印制周期,我们将提前与您沟通
原书名:Hacking Web Apps:Detecting and Preventing Web Application
ISBN:7上架时间:出版日期:2014 年8月开本:16开页码:231版次:1-1
所属分类:
国际知名网络安全专家亲笔撰写,全面揭示Web应用常见安全漏洞及应对策略,Amazon广受好评。从浏览器安全和站点安全的角度,全面、系统解读黑客攻击和漏洞利用的技术细节和方法,以及防御这些攻击的最佳方式。
《Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术》由国际知名网络安全专家亲笔撰写,全面讲解如何预防常见的网络攻击,包括HTML注入及跨站脚本攻击、跨站请求伪造攻击、SQL注入攻击及数据存储操纵、攻破身份认证模式、利用设计缺陷、利用平台弱点、攻击浏览器和隐私等。
全书共8章:第1章介绍HTML5的新增特性及使用和滥用HTML5的安全考虑;第2章展示了如何只通过浏览器和最基本的HTML知识就可以利用Web中最常见的漏洞;第3章详细讲解CSRF(跨站请求伪造)攻击的实现机制及应对策略;第4章介绍如何执行SQL注入攻击,并探究了类似攻击的实现机制,提供一些阻止这些攻击的对策;第5章介绍Web站点保护密码失败的常见方式以及阻止这些攻击所能采取的步骤;第6章主要探讨网站底层设计中会导致漏洞的错误;第7章不仅介绍了应用程序代码可能引发的错误,还介绍了除此之外不应当忽略的其他安全性问题;第8章将探讨更多浏览器面临的来自恶意设计的网页或者已经感染了恶意内容网页的风险。
Mike Shema,国际知名的网络安全专家,现就职于Qualys,专注于自动化Web评估服务。之前曾是Foundstone信息安全咨询公司首席咨询师和培训师,在网络渗透测试、无线网络安全、代码审核、Web安全等方面有丰富的经验,撰写了多部信息安全技术图书,如《黑客大曝光:Web应用安全机密与解决方案》、《反黑客工具箱》和《黑客札记:Web安全手册》,并经常在世界范围的安全技术大会上演讲。
《Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术》
第1章 HTML5
1.1 新的文档对象模型
1.2 跨域资源共享
1.3 Websocket
1.3.1 传输数据
1.3.2 数据帧
1.3.3 安全性考虑
1.4 Web存储
1.5 Web Worker
1.6 杂七杂八
1.6.1 History API
1.6.2 API草案
第2章 HTML注入及跨站脚本攻击
2.1 理解HTML注入
2.1.1 确定注入点
2.1.2 确定反射类型
当前,随着智慧城市、物联网、大数据等社会信息化进程的推进,我国政府、金融、海关、交通、能源和现代服务及工业控制等关键领域均实现了信息化,但不容忽视的现实是,这些关键领域信息基础设施或设备却几乎都被外国少数公司的产品垄断,而且绝大部分核心元器件、高端芯片、基础工具软件等也都严重依赖进口,网络空间安全形势非常严峻。
网络空间的攻击技术也在迅速发展,且已进入自动化程度高、攻击速度快、攻击工具复杂、潜伏更隐蔽的高级阶段。网络犯罪、网络恶意攻击几乎时时刻刻都在上演,而导致这些问题发生的最大安全隐患正来自于网络的核心:Web应用程序。
本书的每一章都针对某类攻击方式,不仅探究其攻击方法、机理及影响,而且还给出可能采取的应对措施。通过对本书的阅读和理解,有助于了解如何对Web应用从多角度实施安全保护措施,做到防患于未然,使得网站拥有者或网站开发人员有信心面对安全相关的威胁与挑战。
本书由齐宁、庞建民、张铮、单征进行主要章节的翻译,杨劲、王俊超、于锦涛、党林玉、薛飞也参与了本书的部分翻译工作。
本书作者是信息安全领域的领军人物之一。虽然我们付出了许多努力,查阅了大量参考资料,力求在充分理解的基础上尽可能准确地完成翻译,为读者奉献一本优秀的译著,但由于书中涉及的知识和技术范围很广,错误或不当之处仍难避免,敬请读者和同仁谅解,诚挚希望读者发现错误时使用电子邮件与我联系:。
2014年4月
关于Web的格言或警句中,你最喜欢哪一个?这些格言或警句很可能会涉及Web安全或网站所面临的威胁。本书通过黑客最经常利用的8组安全弱点及漏洞,试着阐明复杂难解的Web安全性问题。对读者来说,其中一些攻击可能很熟悉,而另外一些攻击可能是出乎意料或者比较陌生的,因为这些攻击并未登上头条新闻或进入到前十大新闻中。攻击者可能会针对一些底层公共特性进行利用,这也是为什么诸如跨站脚本攻击和SQL注入攻击引起了人们广泛关注的原因。更厉害的攻击者可能会把网站设计的工作流或假设中的模糊之处当作目标,利用这些结果会获得巨大经济收益,但可能只对某个网站有效,这种方式的优势在于不会像SQL注入等攻击那样暴露出攻击者的信息。
在Web上,信息就是金钱。信用卡显然对黑客有巨大的价值,不断出现非法信用卡交易网站对盗来的信用卡通过论坛、用户反馈和卖家评价等进行交易。我们的个人信息、密码、电子邮件帐户、线上游戏账户等都有其价值,更不用说我们尽力使这些内容保密所付出的努力的价值。目前的现实就是经济间谍以及国家资助的网络攻击被人们普遍关注和夸大,其实更缺乏的是可靠的公共信息。(对Web安全而言,“网络战争”存在与否无关紧要,我们更加关注的是如何应对这些。)真实世界中人、公司或国家之间的几乎所有骗局、欺骗、诡计等在Web上都存在,因为非法获取Web上有价值的信息很诱人,可以是为了荣誉、国家、金钱,或纯粹出于好奇心。
本书学习要点
本书的每一章都给出了针对Web应用程序的不同攻击实例。首先会探究这些攻击所采用的方法,然后展示这些攻击潜在的影响,这些影响可能是针对网站的安全性或用户的隐私。攻击甚至可能不会将重点放在攻破某个Web服务器,而是聚焦于攻击浏览器。Web安全性对应用程序和浏览器的影响是类似的,毕竟,它们都是存放信息的地方。
每章中接下来的内容会从攻击的不同角度给出相应的应对措施。应对措施是很棘手的事物,在设计出好的防御措施之前,必须要理解攻击的工作方式,还要清楚这些应对措施的局限性以及不能覆盖的漏洞。安全是网站的整体属性,不是单个保护措施的累加。本书中某些应对措施会被反复提到,有些应对措施可能仅出现一次。
本书面向的读者
使用Web收取电子邮件、购物或工作的人都将会从本书受益,他们可以了解网站如何泄露个人信息以及怎样隐藏恶意内容。网站开发人员肩负着网站安全性的最大责任,同时用户也有自己的责任。用户的责任主要体现在维护最新的浏览器、注意密码的使用、警惕类似社会工程这类非技术攻击。
Web应用程序开发人员和安全专家将会从本书介绍的Web攻击背后的技术细节和方法中受益。提升网站安全性的第一步就是要能够理解应用程序面临的威胁,理解不好的编程习惯会导致安全弱点,该弱点会导致漏洞,而漏洞会导致数百万用户密码从未加密的数据库中泄漏出去。另外,有几章深入探讨了与编程语言或支撑特定站点的技术无关的有效应对措施。
行政管理层能够从本书中理解Web站点面临的威胁,而且会看到在很多案例中,仅仅需要一个浏览器并动动脑筋,这种简单攻击就能对站点和它的用户带来负面影响。这同样说明尽管很多攻击易于执行,但好的应对措施仍需时间和资源才能得到正确实现。这些要点为分配资金和资源以提高网站安全性,进而保护Web站点管理的大量信息财富提供有力的论据。
本书假定读者对Web具有基本的了解。Web安全攻击主要依赖于通过操纵HTTP数据包来注入有效负载或利用协议中的缺陷。攻击者同样需要掌握HTML来操纵表单或注入代码,从而控制浏览器。这并不是粗略理解攻击或学习黑客如何攻破某个网站的先决条件。例如,一开始只要熟悉HTTP协议默认使用80端口进行不加密传输,安全套接层(SSL)或安全传输层协议(TLS)协议使用443端口进行加密传输,使用https://的站点指定TLS传输。如果开发人员或安全专家希望对攻击和防御的方法进行深入研究,则必须了解更多技术细节。本书力求呈现准确的信息,但并不追求严格地区分使用只有细微差别的术语,如URL同链接可以互换使用,Web站点和Web应用程序也是如此。但愿对破解的概念以及应对措施的描述足够清楚,习惯于阅读标准和规范的人不会对本书不加区分地引用“HTML标签”和“HTML元素”等术语感到不满。我们的目的是了解破解并从学习中感到快乐。
已经熟悉Web基本概念的读者可以跳过下面的两节。
现代浏览器
在本书中很少提及具体的浏览器版本。最主要的原因是绝大多数的攻击者通过标准的HTML进行攻击,或只是针对与浏览器无关的服务器端技术。缓冲区溢出攻击和恶意软件关注浏览器的具体版本,但针对Web站点的攻击很少关注这一点。另一个原因是浏览器开发人员一般都采取了自动升级方法,或至少有非常快的发布流程,意味着浏览器基本能够保持最新状态,这对用户的安全而言是一个有利的趋势。最后,就像我们在第1章中将要介绍的,HTML5仍旧是一个新兴标准。在本书中,“现代浏览器”是指任何支持HTML5部分特性的浏览器或呈现引擎(记住,可以通过各类设备访问HTML)。可以肯定地说,当你阅读本书时,如果你的浏览器在最近两个月内进行了更新,那么它就是现代浏览器,如果浏览器是一年前的,它也很有可能是现代浏览器,但如果超过一年,那就放下书去更新吧,这对你会有帮助。
曾几何时,开发Web应用程序时,程序员还要考虑不同浏览器的市场份额或必须考虑浏览器呈现中的怪异模式,这已经成为了过去。类似IE6这种已经“逝去”的浏览器仍然能够呈现当今的大部分网站,是工程设计及标准(网络、HTTP、HTML等)值得称道的一个壮举。然而,已经没有必要在今天继续使用这些老古董了。如果微软希望IE6消失,网站就没有理由再乐于支持它,事实上,对于那些内容和使用都要求更高程度的安全性及隐私保护的网站,应当主动拒绝过时的浏览器的访问。
“域”搞定一切
Web浏览器在不同的平台上已经经过数次的更新换代:Konqueror、Mosaic、Mozilla、Internet Explorer、Opera、Safari等。浏览器的核心中有一个呈现引擎,微软IE的引擎为Trident,Safari和Chrome的引擎为Webkit,Firefox的引擎为Gecko,Opera的引擎为Presto。这些引擎负责把HTML呈现为DOM(Document Object Model,文档对象模型)、执行JavaScript、提供Web页面布局,最终提供安全的浏览体验。
同源策略(Same Origin Policy,SOP)是浏览器的基本安全边界。内容的能力和可视性受限于最初加载资源的源内。不像低成本恐怖电影中,来自某个区域的恶魔会在另一个区域中肆虐,浏览的上下文应当从它建立起就受限于其所在的域了。域是为浏览上下文获取资源的协议、主机名(host)和端口号(port)的组合。我们将会多次讲到SOP,第1章先介绍HTML5如何放宽SOP的限制。
所需背景知识
本书远不能详细地涵盖相关主题。多种攻击方法和应对措施都涉及密码学,例如哈希、盐值、对称加密、随机数等。有一些章节涉及数据结构、编码、算法等知识,还有些章节涉及正则表达式。这些概念会描述得足够清楚,即使你第一次接触它们,也应该可以知道它们同黑客攻击及应对措施的关联。当需要更多背景知识时,会给出一些建议阅读的资料。本书应当会引起你对此类主题的好奇。一名好的安全从业者或Web开发人员应当对很多主题都很熟悉,即便对更深的数学或理论细节可能还有些模糊。
对本书而言,最重要的安全工具是Web浏览器,它往往是对Web站点进行攻击所需要的唯一工具。Web应用程序漏洞利用所涉及的技术即包括复杂的缓冲区溢出,也包括对URI中单个字符的操纵。第二重要的工具是能够发送原始HTTP请求的工具,下面的这些工具可以对浏览器做极好地补充。
“本书对于安全领域技术人员以及领导者同等重要,我建议所有开发Web应用或抵御最新Web应用攻击的人都来阅读本书,一定可以从中获得专业知识。”
――Doug Steelman,戴尔Secureworks首席安全官
“本书介绍了困扰着Web应用程序的最有威胁的漏洞及其基本概念,书中还介绍了其他漏洞并显示了多种漏洞之间的关联,而且可读性非常强”。
――Robert Hansen,Falling Rock Networks and SecTheOry公司CEO
本章内容
HTML5的新增特性
使用及滥用HTML5的安全性考虑
书面语言的历史至少可以追溯到5000年前,当时的苏美尔人使用楔形文字来记录账簿、法律以及清单,这种原始的石刻标记语言为现代的超文本标记语言(HTML)开辟了道路。类似维基百科这样的网站,不就是收集了拜占庭法律、《吸血鬼猎人巴菲》剧集列表、《星际迷航》中的外星人名单等内容吗?由此可见,人类喜欢使用书面语言来记录各种信息。
很大程度上,HTML是基于多种事实上的实现发展起来的标准。很少有浏览器定义HTML是什么,这意味着HTML标准在一定程度上体现了真实世界。如果你根据规范来书写网页,那么浏览器将会按照你的期望来适当地渲染它。在早期的演化发展过程中,标准的缺点是当时的页面并不统一,不同的浏览器有着不同的怪异(quirk)模式,导致产生类似如下的脚注:“建议使用IE 4浏览本网页”、“建议使用Mosaic浏览本网页”。这些怪异模式成为了开发人员的噩梦,导致出现不良设计模式(例如常见的通过用户代理嗅探来侦测性能而不是通过特性测试)或过度依赖于插件(例如Shockwave)。标准中还包含一些很少使用的标签([acronym])、糟糕的UI设计([frame]和[frameset])或非常令人厌恶的标签([bgsound]和[marquee])。HTML2试图澄清某些差异,于1995年11月成为标准。HTML3未能与HTML2合并为可接受的标准。HTML4于1999年12月提出。
8年之后,HTML5作为公共草案出现,过了一年左右才大受欢迎。现如今,在HTML4出现12年之后,标准的最新版本正准备从草案状态变为正式状态。在这12年间,网络逐渐成为人们日常生活中无所不在的组成部分,从第一条包含网站URL的电视广告到数十亿美元的IPO,再到伴随技术或文化的变迁带来的类似欺诈或犯罪这样的黑暗面。
当前的浏览器对HTML5的支持程度多种多样。很多网站以这样或那样的方式使用HTML5。本章所介绍的标准仍然是正在使用的草案,尽管如此,大多数细节都已经足够确定,最多只有JavaScript API或标头(header)发生细微的变化。主要的安全原则仍然是适用的。
HTML5中包含了Web开发人员从他们最喜爱的浏览器中带来的事实标准映射到HTML5标准之中,但更重要的是,标准的制定者在历史实现与优化架构的规范之间进行了认真地考虑。HTML5最引人注目的特点就是对如何解析HTML文档进行了明确描述。最明显的是,各浏览器的实现并不一致,使得针对HTML和JavaScript的攻击可以围绕这些怪异模式下手乃至利用它们。我们将会在后续章节中介绍这些怪异模式带来的安全问题,尤其是第2章。
本章将介绍HTML5及其相关标准的新概念、关注点和考虑等。那些希望针对这些标准的设计找出快速攻击方法或细微漏洞的人会感到失望。由浏览器开发人员、网站开发人员以及安全性测试人员等人所组成的安全生态圈已经对HTML5给予了仔细的关注。通过对HTML4和HTML5的比较可以发现,在HTML4标准中,安全性(security)和隐私(privacy)这两个词分别出现了14次和1次,而在HTML5当前的草案中则分别出现了73次和12次。尽管更多次数地提及并不能够说明一定就会更加安全,但是至少体现出在标准的发展过程中,安全和隐私已经得到更多关注,变得更加重要。
新的标准并未解决浏览器可能面对的所有的安全问题,它所做的是减少之前的标准中不明确的做法、提供更多关于安全实践的指导、建立更严格的HTML解析规则、在不弱化浏览器的前提下引入新特性。新标准带来的好处是更好的浏览体验,缺点是浏览器竞相增加对新特性的支持以及网站开发人员接纳它们的过程中在实现中带来的错误和bug。
1.1新的文档对象模型
欢迎使用[!doctype html],这个简单的声明会使得网页正式成为HTML5网页。W3C在http://www.w3.org/TR/html5-diff提供了一个文档,该文档描述了HTML5和HTML4之间的巨大差别,下面的列表显示了这些有趣的变化。
你所需要的仅仅只有[!doctype html]。现代浏览器将会以此作为指令,采纳解释HTML的标准模式,不再需要争论HTML和XHTML哪个更好,也不再需要为文档类型声明添加DTD。
编码格式倾向于使用UTF-8。这种编码格式最便于HTTP传输,同时与大多数语言表达方式保持兼容。要注意其他字符编码与UTF-8在相互转换过程中可能产生的安全错误。
HTML解析有了明确规则。不再依赖或受制于浏览器实现中的怪异模式,怪异模式导致模棱两可,从而导致不安全。明确指示如何处理无效字符(例如NULL字节)或不匹配标签,减少了浏览器“修正”HTML以防注入攻击。
新的标签及属性宣告了依赖于黑名单的安全过滤程序的末日。对HTML4规范中列出的每个标签的所有细心关注,在HTML5中也需要做到。
复杂性的增加意味着安全性的减弱,捕获暴露弱点的极端状况以及病态情况变得更加困难。
全面增加新的API,从媒体元素到Base64转换,再到注册定制协议处理程序。这增加了实现的复杂性,可能会在浏览器中引入bug。
770)this.width=770;' />
系列图书推荐 ¥79.00¥55.30
同类热销商品¥108.00¥86.40
订单处理配送
北京奥维博世图书发行有限公司 china-pub,All Rights Reserved
