轉(zhuǎn)載請注明來源：HTML5安全攻防詳析之完結(jié)篇：HTML5對安全的改進(jìn) HTML5對舊有的安全策略進(jìn)行了非常多的補(bǔ)充。 一、iframe沙箱 HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執(zhí)行某些操作，例如訪問父頁面的DOM、執(zhí)行腳本、訪問本地存儲或者本地數(shù)據(jù)庫等等。但是這個安全策略又會帶來另外的風(fēng)險，這很有趣，例如ClickJacking攻擊里阻止JavaScript腳本的運(yùn)行來繞過JavaScript的防御方式。 二、CSP內(nèi)容安全策略 XSS通過虛假內(nèi)容和誘騙點(diǎn)擊來繞過同源策略。 XSS攻擊的核心是利用了瀏覽器無法區(qū)分腳本是被第三方注入的，還是真的是你應(yīng)用程序的一部分。CSP定義了Content-Security-Policy HTTP頭來允許你創(chuàng)建一個可信來源的白名

1. HTML5安全攻防詳析之完結(jié)篇：HTML5對安全的改進(jìn)

簡介：HTML5對舊有的安全策略進(jìn)行了非常多的補(bǔ)充。HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁面執(zhí)行某些操作，例如訪問父頁面的DOM、執(zhí)行腳本、訪問本地存儲或者本地數(shù)據(jù)庫等等。

2. Web 前端安全攻防_html/css_WEB-ITnose

簡介：Web 前端安全攻防

【相關(guān)問答推薦】：

ios – GDB 為什么無法使用破解后 ipa 中的 Symbol？