开发案例 window.addEventListener(”message”,mHandle,false); 跨站脚本攻击(XSS)vo]是指攻击者在页面里插入 }else if(window.attachEvent)f对类似IE内核的浏览器 添加监听message事件.如果有消息事件触发则执行milan. die 恶意代码。当接收窗口输出消息时,这段代码会被浏览 器执行.从而达到恶意攻击的目的 XSS攻击主要有两 类攻击来源。一是利用程序自身漏洞构造跨站语句 二 window.attachEvent("onmessage ,mHandle); 是攻击者将自己构造的攻击代码发放给非本域的Web 页进而达到攻击的目的 l 3 安全性分析 通过postMessage()实现跨域通信和资源共享,是 建立在破坏同源策略重要的安全机制基础上的.扩大 了Web应用的安全边界范围.加大了被攻击的可能 例如发送方发来: postMessage(”<img src="src onerror="alert(error); >” ”http://127.0.0.1:8080”);//src是个虚假的地址 接收方经过消息来源验证后.使用如下代码处理 接收到的消息: DfintDiv.innerHTML=”接收到的消息是:”+e.data; 则当接收页执行时.可导致接收窗口出XSS。解决 性 HTML5开放跨域通信的前提是基于服务器是值得 信任的.如若服务器的安全不能得到保障.则可能造成 严重的数据泄漏嘲等安全性问题。所以,在开发具有跨 域通信功能的Web应用程序时.开发人员必须仔细检 查以确保信息来源于他们信任的网站,而不是恶意的 数据。 (1)发送方式 此种类型的方法就是将innerHTML替换成textCon. tent,将接收到的消息内容输出而不是作为代码执行。 4 结语 浏览器的同源策略保证了Web应用系统数据的 在postMessage(message,targetOrigin)方法来说, targetOrigin用于指定接收消息的目标域.可以是通配 安全访问.它要求Web页之间的访问必须保证传输协 议、主机域、端口三者均相同,严格的约束条件使得 Web应用系统失去了灵活性 HTMI_5的postMessage 符[91” 用于表示任意的接收方,这将会导致未知的消 息被陌生的窗口接收.安全性的做法是明确指定接收 域。如本例中的postMessage(mData,"http://127.0.0.1: 8080 )方法指定只能被http://127.0.0.1:8080下的文件 API允许两个窗口文档或不同iframe之间的数据跨域 发送消息.为不同Web页和iframe之间的跨域通信搭 建了一架桥梁.有效解决了客户端跨域通信数据同步 接收.保证了消息发送方的通信安全。 (2)接收方未经验证 的问题。破坏了同源策略,势必会给浏览器带来相应的 安全威胁.就postMessage实现的跨域通信问题而言. 主要有发送消息的方式、接收方消息来源未经验证及 跨域脚本攻击等3种安全问题.结合具体的应用场景 设定安全的发放方式.严格过滤消息来源堵截攻击漏 洞.则会建立一套安全高效的跨域通信机制.为客户端 对于接收到的消息.Web应用程序要附加对其来 源验证的功能.可以有效防止消息来自未经授权的发 送者。可以在接收端输出消息时添加: if(e.origin==”http://127.0.0.1”)f,/判断消息来源是否是 http://127.0.0.1 //do something 数据同步及资源共享提供安全的运行环境 文中实例 均在Win8+Firefox37.0.1下调试通过 } (3)跨站脚本攻击 参考文献: 【1] ̄01耀钦.基于HTML5的Web离线应用研究与探讨[J].河南工程学院学报(自然科学版),2015,27(1):77~8O 【2] ̄01耀钦.利用HTMI.5拖放技术实现多文件异步上传[J].四川理工学院学报(自然科学版),2015,28(1):l7—29+30 [3】李潇宇,张玉清,刘奇旭,郑晨.一种基于HTML5的安全跨文档消息传递方案[J].中国科学院研究生院学报,2013,30(1):124— 130 [4】何良,方勇,方畴,蒲伟.浏览器跨域通信安全技术研究[J】.信息安全与通信保密,2013(4):59—61 壬曰 计笛加 on1 n 硒0 【5】陈腊梅,李为,程振林,张晓力.MAX跨域访问的研究与应用[J1.计算机工程与设计,2008,29(22):5680 5684 [6]张涛,黄强,毛磊雅,高兴.一个基于JSON的对象序列化算法[J].计算机工程与应用,2007,43(15):98~100+133 [7]李志秀,张军,陈光,杨丽红.JQuery A『AX异步处理JSON数据在项目管理系统中的应用fJ1.云南大学学报(自然科学版), 2011,33(S2):247 ̄250 【8]T辉,高松,毛南.从数据泄漏事件看商业银行信息安全保密『J].计算机安全,2012(3):53 56 [9】强继明,谢飞,高隽,胡学钢,吴信东.带任意长度通配符的模式匹配『J1.自动化学报,2014,40(11):2499 251l 【10】龚小刚,王红凯,夏威,吴科庆.跨站脚本攻击(XSS)的形成与利用研究『J].信息安全与技术,2015(3):52~55 作者简介: 刘耀钦(1980一),男,讲师,硕士,研究方向为信息安全及Web应用 收稿日期:2015—05—07 修稿日期:2015—05~20 Research on Client Data SynchrOnizatiOn Based on HTML5 Cross Domain Communication Technology LIU Yao——qin (Department of Computer Science,Yunyang Teachers College,Shiyan 442700) AbStract: Homologous strategy is the core strategy of data security access in the browser.is an important guarantee for building a secure Web ap plication environment,it is also because of the same origin policy,the cross domain communication Web application system is difficult to solve.To establish a set of data to the client or cross domain communifcation technology based on the synchronization system to break the limit of HTML5 sequence,post Message API,to do the analysis on the security threats that may appear in the process of implementation and puts forward the corresponding solutions.With more and more stable and the application of HTML5 browser compatibility gradually mature,cross domain communication brings good experience will be more perfect. Keywords: HTML5;Cross Domain;Origin Policy;Data Synchronization;XSS ④ 现代计算机2015.06上
