一.Html安全隱患

創(chuàng)新互聯(lián)建站是一家以網(wǎng)絡(luò)技術(shù)公司，為中小企業(yè)提供網(wǎng)站維護(hù)、網(wǎng)站設(shè)計(jì)制作、網(wǎng)站設(shè)計(jì)、網(wǎng)站備案、服務(wù)器租用、域名與空間、軟件開發(fā)、小程序開發(fā)等企業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)，是一家有著豐富的互聯(lián)網(wǎng)運(yùn)營推廣經(jīng)驗(yàn)的科技公司，有著多年的網(wǎng)站建站經(jīng)驗(yàn)，致力于幫助中小企業(yè)在互聯(lián)網(wǎng)讓打出自已的品牌和口碑，讓企業(yè)在互聯(lián)網(wǎng)上打開一個(gè)面向全國乃至全球的業(yè)務(wù)窗口：建站服務(wù)電話：18980820575

1.CSRF攻擊【漏洞

之前外我寫過一篇《淺談CSRF攻擊方式》，如果想詳細(xì)了解CSRF原理及其防御之術(shù)，可以看一下。

這里簡單距個(gè)例子說明一下：

存在CSRF漏洞Html代碼：

 
 
 
 

  
  
  
  
 action="Transfer.php" method="POST"> 

  
  
  
  
　　　　
ToBankId:  type="text" name="toBankId" />
 

  
  
  
  
　　　　
Money:  type="text" name="money" />
 

  
  
  
  
　　　　
 type="submit" value="Transfer" />
 

  
  
  
  
 
 
 
 
 

以上漏洞的攻擊代碼：

 
 
 
 

  
  
  
  
 method="POST" action="http://www.Bank.com/Transfer.php"> 

  
  
  
  
 type="hidden" name="toBankId" value="hyddd"> 

  
  
  
  
 type="hidden" name="money" value="10000"> 

  
  
  
  
 
  
  
  
  
 
 
 
 
 

如果用戶在登陸www.Bank.com后，訪問帶有以上攻擊代碼的頁面，該用戶會(huì)在毫不知情下，給hyddd轉(zhuǎn)賬10000塊。這就是CSRF攻擊。

2.包含不同域的Js腳本【隱患】

在Html頁面中，包含如：

 
 
 
 

  
  
  
  
 src="http://www.hyddd.com/hello.js"/> 

 
 
 
 

不同域的腳本文件，是一種值得慎重考慮的行為，因?yàn)槟惆驯菊军c(diǎn)的安全和其他站點(diǎn)的安全綁定在一起了。黑客可以通過入侵修改www.hyddd.com的hello.js文件，達(dá)到攻擊的效果。比如說：JavaScript Hijacking（關(guān)于JavaScript Hijacking可以參考《深入理解JavaScript Hijacking原理》）。

3.Html中的Hidden Field【隱患】

注意對(duì)隱藏字段的使用。比如hidden的標(biāo)簽。

不要把敏感的信息存放在隱藏字段中，以防被別人更改替換和瀏覽器緩存。

4.上傳文件【隱患】

請(qǐng)慎重對(duì)待上傳文件這一功能，因?yàn)楣粽哂锌赡芙柽@個(gè)機(jī)會(huì)執(zhí)行惡意代碼，如圖：

所以請(qǐng)小心處理上傳文件功能。

以上是我搜集到的4種關(guān)于Htm的安全隱患，僅僅是和Html相關(guān)的問題，不包括，如：JSP，ASP...，資料的主要來源都是Fortify的一些文章 。