实例讲解HTML安全隐患

一.Html安全隐患

创新互联建站是一家以网络技术公司，为中小企业提供网站维护、网站设计制作、网站设计、网站备案、服务器租用、域名与空间、软件开发、小程序开发等企业互联网相关业务，是一家有着丰富的互联网运营推广经验的科技公司，有着多年的网站建站经验，致力于帮助中小企业在互联网让打出自已的品牌和口碑，让企业在互联网上打开一个面向全国乃至全球的业务窗口：建站服务电话：18980820575

1.CSRF攻击【漏洞

之前外我写过一篇《浅谈CSRF攻击方式》，如果想详细了解CSRF原理及其防御之术，可以看一下。

这里简单距个例子说明一下：

存在CSRF漏洞Html代码：

 
 
 
 

  
  
  
  
 action="Transfer.php" method="POST"> 

  
  
  
  
　　　　
ToBankId:  type="text" name="toBankId" />
 

  
  
  
  
　　　　
Money:  type="text" name="money" />
 

  
  
  
  
　　　　
 type="submit" value="Transfer" />
 

  
  
  
  
 
 
 
 
 

以上漏洞的攻击代码：

 
 
 
 

  
  
  
  
 method="POST" action="http://www.Bank.com/Transfer.php"> 

  
  
  
  
 type="hidden" name="toBankId" value="hyddd"> 

  
  
  
  
 type="hidden" name="money" value="10000"> 

  
  
  
  
 
  
  
  
  
 
 
 
 
 

如果用户在登陆www.Bank.com后，访问带有以上攻击代码的页面，该用户会在毫不知情下，给hyddd转账10000块。这就是CSRF攻击。

2.包含不同域的Js脚本【隐患】

在Html页面中，包含如：

 
 
 
 

  
  
  
  
 src="http://www.hyddd.com/hello.js"/> 

 
 
 
 

不同域的脚本文件，是一种值得慎重考虑的行为，因为你把本站点的安全和其他站点的安全绑定在一起了。黑客可以通过入侵修改www.hyddd.com的hello.js文件，达到攻击的效果。比如说：JavaScript Hijacking（关于JavaScript Hijacking可以参考《深入理解JavaScript Hijacking原理》）。

3.Html中的Hidden Field【隐患】

注意对隐藏字段的使用。比如hidden的标签。

不要把敏感的信息存放在隐藏字段中，以防被别人更改替换和浏览器缓存。

4.上传文件【隐患】

请慎重对待上传文件这一功能，因为攻击者有可能借这个机会执行恶意代码，如图：

所以请小心处理上传文件功能。

以上是我搜集到的4种关于Htm的安全隐患，仅仅是和Html相关的问题，不包括，如：JSP，ASP...，资料的主要来源都是Fortify的一些文章 。