一、界面操作劫持

1）ClickJacking

ClickJacking點擊劫持，這是一種視覺上的欺騙。

攻擊者使用一個透明的、不可見的iframe，覆蓋在網(wǎng)頁的某個位置上，誘使用戶點擊iframe。

2）TapJacking

現(xiàn)在移動設(shè)備的使用率越來越高，針對移動設(shè)備的特點，衍生出了TapJacking（觸屏劫持）。

手機(jī)上的屏幕范圍有限，手機(jī)瀏覽器為了節(jié)約空間，可以隱藏地址欄，手機(jī)上的視覺欺騙會更加容易實施。

1. 第一張中最上方顯示了瀏覽器地址欄，同時攻擊者在頁面中畫出了一個假的地址欄；

2. 第二張中真實的瀏覽器地址欄已經(jīng)自動隱藏了，此時頁面中只剩下假的地址欄；

3. 第三張中是瀏覽器地址欄被正常隱藏的情況。

這種針對視覺效果的攻擊可以被利用進(jìn)行釣魚和欺詐。

3）X-Frame-Options

針對傳統(tǒng)的界面劫持，通過禁止iframe來防范。

HTTP頭中有一個響應(yīng)頭X-Frame-Options，有三個值可以選擇：

1. DENY：該頁面不允許加載任何 iframe頁面。

2. SAMEORIGIN：該頁面可以加載相同域名的 iframe頁面。

3. ALLOW-FROM uri：該頁面可以加載指定來源的 iframe頁面。

二、HTML5安全

HTML5中新增的一些標(biāo)簽和屬性，使得XSS等Web攻擊產(chǎn)生了新的變化，在HTML5 Security Cheatsheet中總結(jié)了這些變化。

1）隱藏URL惡意代碼

反射型XSS中，會將惡意代碼寫在URL參數(shù)中，這樣的話，用戶也能看到惡意代碼，例如下面的鏈接：

http://www.csrf.net/csrf.html?id=<script>111</script>

可以通過window.history來操作瀏覽器的歷史記錄。

pushState()有三個參數(shù)：狀態(tài)對象、標(biāo)題，可選的URL地址。

history.pushState({},"", location.href.split('?').shift());

執(zhí)行上面那段代碼后就會將參數(shù)隱藏。

新的URL地址就是下面這個：

“pushState”還可以偽造瀏覽器歷史記錄。

for(i=0; i<10; i++)      history.pushState({},"", "/"+i+".html");

2）HTML5下的僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)（Botnet）是指在大量的計算機(jī)中植入特定的惡意程序，使控制者能夠通過若干計算機(jī)直接向其他計算機(jī)發(fā)送指令，進(jìn)行網(wǎng)絡(luò)攻擊。

基于Web前端的僵尸網(wǎng)絡(luò)可以用作DDOS攻擊，這里涉及Web Worker技術(shù)和CORS處理機(jī)制，再通過Web蠕蟲傳播。

Web Worker是一種多線程機(jī)制，可以異步執(zhí)行惡意JS代碼，而不影響用戶在瀏覽器中的正常操作。

CORS處理機(jī)制工作在瀏覽器層面，如果服務(wù)器不允許跨站，瀏覽器將攔截服務(wù)器返回的結(jié)果，也就是說跨域請求，服務(wù)器也會正常響應(yīng)。

那么就可以事先寫好一段異步請求的腳本（worker.js），然后通過Web Worker來執(zhí)行這段腳本，不斷的向目標(biāo)服務(wù)器發(fā)起請求。

var worker_loc = 'worker.js';//封裝了ajax請求的腳本  var target = '   //可實例化多個  Web Workervar workers = [];for (i = 0; i < 1; i++) {        workers[i] = new Worker(worker_loc);        workers[i].postMessage(target);//跨域消息傳遞}