将一种技术扩展到它原先的适用范围之外，可能会产生其他的错误。HTML5是一种异步技术，但是开发者可使用JavaScript将它变成同步技术。如果一个事务在转到下一个状态之前必须获取一个响应，那么必须仔细检查业务逻辑控制机制，保证事务处理的顺序是否正确，如数据库事务。

　　安全团队需要使用WebSocket API，它可以替代浏览器，向Web服务器请求最新的数据。服务器会在出现新数据时才发送数据，从而减少服务器与浏览器的流量。但是，WebSocket可以绕过许多重要的网络安全控制机制，包括传统的数据包头，而防火墙正是通过检查数据包头来阻挡可疑流量的。基于信誉的防御也会受到影响。这样就增加了防火墙进行深度内容检测的负载，因为只有深度内容检测才能够处理WebSocket流量，检查流量的内容、结构和用途。所以再说一次，白名单过滤的效率确实会更高一些。

　　HTML5标准机构及浏览器厂商已经完全考虑了如何根除某些特定的安全性和保密问题。然而，HTML5仍然未成为正式的标准，对于那些未掌握编写安全代码的开发者而言，它肯定还不是一种绝对安全的多媒体Web开发技术。即使是对于能够编写安全代码的开发者而言，他们仍然需要面对网络欺诈、恶意软件和拒绝服务攻击。使用HTML5代码替换网站原来的应用程序是一个很大的改动，总会遇到一些问题。在开始实施之前一定要全面测试恢复过程，而且同时在开始时就要运行一些重要功能。为了更一步防御各种攻击，我推荐将网站升级到HTTPS。

　　任何HTML5开发都必须进行渗透测试，而且要使用HTML5创建复杂的前台，保证它们的运行结果都符合要求。攻击者肯定会测试浏览器厂商实现的新功能和新数据格式，如<canvas>、<video>及其属性，从中发现可能导致缓冲溢出和其他攻击的编码错误。这意味着安全团队和开发者必须跟进供应商更新，保证尽快更新补丁和修复安全漏洞。

　　HTML5意味着开发者现在可以使用开放标准在网站上实现多媒体特性。这比以前使用第三方插件技术显然先进了很多。只要开发者投入足够时间，学习如何安全地使用各种新特性，那么安全行业就有望实现更丰富且更安全的互联网。然而，历史表明，这是不可能的，所以我们总是需要实施强有力的边界防御和渗透测试。