尽管现在所有连接互联网的计算机都安装了Flash（Adobe问题不断的Web多媒体格式），但是似乎它很快就会被新标准HTML5所替代。按照Adobe自己话说，“HTML5现在得到主流移动设备的普遍支持，并成为创建和部署面向移动平台浏览器内容的最佳解决方案。”

　　对于企业攻击者而言，这无疑是一个坏消息。近几年来，Flash已经成为恶意程序黑客的主要攻击目标。根据安全研究公司WhiteHat Security Inc.的数据，与Flash播放器相关的漏洞占他们发现的Web应用程序漏洞的14%左右。

　　那么，Flash的消失是否是一个安全利好消息？HTML5是否会替代Flash？如果会，那么HTML5安全性能否与Flash对抗？安全人员应该如何做好部署HTML5 Web内容的准备？下面，我们将会针对这些问题展开讨论。

　　HTML5得到了许多互联网巨头的支持，包括Facebook、谷歌和PayPal。事实上，它正在成为将来的互联网视频标准，并且会替代所有非标准格式，如Flash和微软的Silverlight。Flash是一种二进制的多媒体内容格式，采用面向对象开发语言ActionScript，需要安装Adobe插件。相反，HTML5是一种开放源码的标记语言，不需要任何插件就能够运行应用程序。删除了视频播放私有插件，也就关上了常见的攻击载体，因为HTML5更新是通过浏览器更新实现的，所以它们的更新速度远远比插件快。然而，HTML5有更多的计算机资源访问权限，包括本地数据存储，从而也成为新的潜在攻击目标。

　　对于HTML5，我主要担心的是，开发人员在未完全理解它的新特性及安全机制之前，就匆匆在网站上添加HTML5特性。例如，跨域资源共享（CORS）使Web服务器允许其他域名的网页访问自己的资源。CORS放宽了同源访问规则（Same Origin Rule），这是Web浏览器内置的基础安全措施之一。除非开发人员理解CORS的工作原理，否则他们很容易做出错误的假设，使攻击者能够访问所共享的内容。HTML5跨文档消息也有相同的问题。如果使用正确，它会很安全，但是如何开发者不确保消息来自自己的网站，那么其他网站的恶意代码可能会发送欺骗性流氓消息。基本的安全原则是，来自浏览器的数据都应该视为不可信数据，因此必须进行验证。在Web应用程序开发过程中，一定要检查当前的验证过程和过滤器，因为HTML5新元素和属性可能会产生一些意外结果。应用程序内置的基于白名单的过滤器确实更具灵活性。

　　如果开发者使用技术的方法偏离该技术原来的目标，那么任何技术都可能出现安全漏洞。例如，HTML5 Web存储标准为开发者提供了一种更灵活方法，可以替代Cookie在浏览器上存储数据。当然，存储用户敏感数据存在一定的风险，可能会受到跨站脚本(XSS)的攻击，但是有一些网站已经使用这种技术来存储脚本，以提高页面加载速度。例如：为了节省时间和带宽，前面的Web服务Apture使用一个localStorage对象，缓存它的应用程序逻辑代码，但是与这些脚本在同一个域的页面可能存在XSS漏洞，可能会被利用，向缓存注入恶意代码。利用Apture服务，恶意代码可能会将漏洞变成面向所有域的持久客户端XSS攻击。从第三方提取数据或脚本会创建一种隐含的信任关系。开发者必须认识到这种潜在风险，理解如何在内容放到网站之前对内容进行审查。